We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Problemas al instalar Fail2ban


angel perez
18/01/2010, 18:18
Muchas Gracias a todos, ya me funciona el Fail2ban

rockeye
18/01/2010, 01:24
Por lo menos parece que está arrancado y monitorizando el archivo de log correcto. Falta que hagas la prueba de entrar por ssh con la password mal varias veces. Igual antes no lo intentastes el nº de veces que necesitas para que te bloquee.

Saludos.

angel perez
17/01/2010, 21:14
He desinstalado y he limpiado todas las carpates y archivos de Fail2ban. Y he usado este comando para instalarlo:
ks308991:~# apt-get install fail2ban
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
Se instalarán los siguientes paquetes extras:
python-central
Paquetes sugeridos:
python-gamin mailx
Se instalarán los siguientes paquetes NUEVOS:
fail2ban python-central
0 actualizados, 2 se instalarán, 0 para eliminar y 0 no actualizados.

Meto el comando de restart y me sale este erro:

ks308991:~# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban.

Y con el otro comando de Log me sale esto otro:


ks308991:~# cat /var/log/fail2ban.log
2010-01-17 21:18:39,203 fail2ban.server : INFO Changed logging target to /var/ log/fail2ban.log for Fail2ban v0.8.3
2010-01-17 21:18:39,203 fail2ban.jail : INFO Creating new jail 'ssh'
2010-01-17 21:18:39,203 fail2ban.jail : INFO Jail 'ssh' uses poller
2010-01-17 21:18:39,276 fail2ban.filter : INFO Added logfile = /var/log/auth.l og
2010-01-17 21:18:39,277 fail2ban.filter : INFO Set maxRetry = 6
2010-01-17 21:18:39,278 fail2ban.filter : INFO Set findtime = 600
2010-01-17 21:18:39,278 fail2ban.actions: INFO Set banTime = 600
2010-01-17 21:18:39,347 fail2ban.jail : INFO Jail 'ssh' started

Ya esta en marcha?


PS:

ks308991:~# dpkg -l fail2ban Desired=Unknown/Install/Remove/Purge/Hold
| Estado=No/Instalado/Config-files/Desempaquetado/Fallo-config/Medio-inst/espera-disparo/pendiente-disparo
|/ Err?=(ninguno)/Retenido/Requiere-reinst/X=ambos problemas (Estado,Err: mayúsc.=malo)
||/ Nombre Versión Descripción
+++-====================-====================-================================================== ======
ii fail2ban 0.8.3-2sid1 bans IPs that cause multiple authentication errors

rockeye
17/01/2010, 20:21
Hola Ángel,

No sé por qué tienes:

logpath = /var/log/sshd.log

En debian, los accesos por ssh se registran en:

/var/log/auth.log

Yo creo que te estás liando. Te recomiendo que lo desinstales con:

apt-get remove --purge fail2ban

Luego revisa que no exista el dir /etc/fail2ban y si está todavía, eliminalo e instalalo de nuevo desde paquetes.

Inicia el demonio si no lo está:
/etc/init.d/fail2ban restart

Haz alguna prueba para ver si funciona y revisa el log de fail2ban:

cat /var/log/fail2ban.log

Saludos.

angel perez
17/01/2010, 18:03
Es que no he cambiado nada.

Solo he instalado el fail2ban de esta manera.

#aptitude install fail2ban

Y me sale asi de rar la configuracion por defecto.

azazelo
17/01/2010, 17:15
Cita Publicado inicialmente por angel perez
Sigo liado con el Fail2ban, no consigo que funcione. He creado los directorios tal y como me has dicho en esas carpetas y dentro no se a creado nada.

En el archivo jail.conf de la carpeta Fail2ban he colocado esto asi:

[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com]
logpath = /var/log/sshd.log
maxretry = 3
Mirando tu conifuguración me parece un poco rara, desde el formato que pones en el jail.conf para el ssh hasta el fichero de log del ssh, que en debian suele ser el auth.log ( a no ser que lo hayas cambiado).

Yo tengo esta configuración:

Código:
[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
bantime  = 86400
maxretry = 4
findtime = 600
y el fiter sshd es así:

Código:
[INCLUDES]

before = common.conf


[Definition]

_daemon = sshd

failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from \s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from \s*$
            ^%(__prefix_line)sFailed (?:password|publickey) for .* from (?: port \d*)?(?: ssh\d*)?$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM \s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from \s*$
            ^%(__prefix_line)sUser .+ from  not allowed because not listed in AllowUsers$
            ^%(__prefix_line)sUser .+ from  not allowed because none of user's groups are listed in AllowGroups\s*$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(\)\s*$
            ^%(__prefix_line)sAddress  .* POSSIBLE BREAK-IN ATTEMPT\s*$

ignoreregex =
suerte ...

angel perez
17/01/2010, 17:06
No se si sera facil o no, pero yo lo he instalado como 5 veces y sigue sin funcionarme, he seguido varias guias y sigue sin banear a la gente.

azazelo
17/01/2010, 16:40
desinstala el fail2ban con aptitude y vuelve a instalarlo.

En debian no tiene ningún misterio, es más, si sólo lo quieres para ssh no tienes ni que configurarlo ( a parte de poner alguna ip en whitelist o aumentar el tiempo de baneo).

angel perez
17/01/2010, 16:13
Sigo liado con el Fail2ban, no consigo que funcione. He creado los directorios tal y como me has dicho en esas carpetas y dentro no se a creado nada.

En el archivo jail.conf de la carpeta Fail2ban he colocado esto asi:

[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com]
logpath = /var/log/sshd.log
maxretry = 3

Echo un restart con este comando:
ks308991:/usr/bin# fail2ban-server restart

2010-01-17 16:19:01,266 fail2ban.server : INFO Starting Fail2ban v0.8.4
2010-01-17 16:19:01,267 fail2ban.server : INFO Starting in daemon mode


Y le dicho a un colega que metiera la pass incorrectamente en el Putty desde root.
Pongo iptables -L y no me sale nadie baneado.

Ya no se que mas hacer para q me funcione este.

PerroVerd
17/01/2010, 09:55
En el directorio /etc/fail2ban deberías tener dos subdirectorios action.d y filter.d con el resto de la configuración.

Si necesitas nuevos filtros o acciones basta con que metas en esos directorios un fichero acabado en .conf.

angel perez
16/01/2010, 23:52
Hola a todos.

Estoy intentando instalar el Fail2ban en Linux Debian, pero creo que no lo hago bien porque en el archivo fail2ban.conf solo me sale esta linea al final y no me sale toda la configuracion.

socket = /var/run/fail2ban/fail2ban.sock

Tengo instalado:
ii python 2.5.2-3
Log4py

Lo he probrado tanto instalando con apt-get, aptitude, descargandolo y instalandolo con python setup.py install y siempre acabo con la linea esa en el config. Alguien me podria decir que hago mal o como puedo instalarlo del modo adecuado?

Saludos y gracias.