# fail2ban + Ubuntu 6.06 LTS



## hahni (4. Feb. 2008)

Hallo zusammen,

ich habe wie im Tutorial "http://www.howtoforge.com/fail2ban_debian_etch" beschrieben fail2ban auf meinem Webserver installiert und konfiguriert.

Es treten keine Fehler auf! Allerdings habe ich beispielsweise bei SSH nicht den Standard-Port aktiv! Bei meinen Versuchen wurde ich auch nicht nach dem 5. Fehlversuch gebannt!

Kann etwas mit dem Tutorial nicht stimmen oder muss man den abweichenden Port angeben?

Nächtliche Grüße

Hahni


----------



## Till (5. Feb. 2008)

Fail2ban liest die Log-Dateien, der Port sollte also keine Rolle spielen. Sie mal in der fail2ban Konfiguration nach, ob die Pfade zu den Log-dateien korrekt ist und ob Dein SSH Daemon die fehlgeschlagenen Logins dort rein schreibt.


----------



## hahni (5. Feb. 2008)

Beides stimmt: also die Pfade und es wird auch in die auth.log geloggt! Auf diese Dinge hatte ich nämlich gestern auch schon ein Augenmerk gelegt! Könnte man auch alternativ die /var/log/messages angeben? Oder stimmt das Schlüsselwort "filter" nicht bzw. arbeitet nicht zuverlässig?


----------



## Till (5. Feb. 2008)

Generell kannst Du mit fail2ban jedes Log überprüfen, es müssen nur ggf. die regulären Ausdrücke angepasst werden.


----------



## hahni (5. Feb. 2008)

Aber genau die sind ja in Falkos Debian-Config-File garnicht enthalten (meine den Link in meinem ersten Thread!)...


----------



## Till (5. Feb. 2008)

Es gibt diverse Standard Filter, und diese werden in Falkos howto verwendet. deshalb sind dort keine gesonderten regulären Ausdrücke notwendig.


----------



## hahni (7. Feb. 2008)

Folgende Fehler/Warnings bekomme ich, wenn ich in das fail2ban.log sehe:

---
2008-02-03 22:48:54,731 WARNING: Verbose level is 1
2008-02-03 22:48:54,732 INFO: Fail2Ban v0.6.0 is running
2008-02-03 22:48:54,733 INFO: Enabled sections: ['Apache', 'SSH']
2008-02-03 22:48:54,733 WARNING:  is not a valid IP address
2008-02-04 20:22:11,654 WARNING: Restoring firewall rules...
2008-02-04 20:22:11,791 INFO: Exiting...
2008-02-04 20:22:14,578 ERROR: Fail2Ban got an unhandled exception and died.
2008-02-04 20:22:14,578 ERROR: Type: 'NoSectionError'
Value: ("No section: 'MAIL'",)
TB: [('/usr/bin/fail2ban', 47, '?', 'fail2ban.main()'), ('/usr/share/fail2ban/fail2ban.py', 406, 'main', 'mailConf = confReader.getLogOptions("MAIL", optionValues)'), ('/usr/share/fail2ban/confreader/configreader.py', 76, 'getLogOptions', 'v = self.configParser.getboolean(sec, option[1])'), ('/usr/lib/python2.4/ConfigParser.py', 330, 'getboolean', 'v = self.get(section, option)'), ('/usr/lib/python2.4/ConfigParser.py', 511, 'get', 'raise NoSectionError(section)')]
2008-02-04 20:22:14,578 WARNING: Restoring firewall rules...
2008-02-04 20:28:17,101 ERROR: Fail2Ban got an unhandled exception and died.
2008-02-04 20:28:17,101 ERROR: Type: 'NoSectionError'
---

Ich habe definitiv nur die Pfade bei Falkos Config-Empfehlung geändert! Da muss möglicherweise irgendwas mit Phyton nicht stimmen...


----------



## Till (8. Feb. 2008)

Ich denke der Fehler meint, dass Du keine Überwachungsoptionen für das Mail Log in Deiner fail2ban Konfiguration definiert hast.


----------



## hahni (8. Feb. 2008)

Und was für "Überwachungsoptionen" müssten dann eingestellt werden? Wenn dem so wäre, müsste ja auch Falkos Config einen Fehler werfen!


----------



## hahni (8. Feb. 2008)

Hallo Till,

ich bin der Sache schon etwas weiter auf die Spur gekommen. Bei Ubuntu 6.06 LTS wird noch fail2ban 06 ausgeliefert. Diese Version hat aber eine ganz andere Strukur was die Konfigurationsdatei betrifft.

Leider ist nicht ersichtlich, für welche Version die Vorschläge von Falko erstellt sind. Und selbst wenn es so wäre: für Ubuntu wird via apt-get install nur die Version 0.6 angeboten.

Von daher meine Frage: kann ich mühelos auf 0.8 updaten? Wenn ja: wie und vor allem: sind dann auch die Requirements wie die dafür erforderliche Phyton inbegriffen? Wenn ich nicht über apt-get installiere, muss ich mich ja immer selbst um die Updates kümmern...

Grüße

Hahni


----------



## Till (10. Feb. 2008)

Die Systemvoraussetzungen findest Du auf der fail2ban Hompage:

http://www.fail2ban.org/wiki/index.php/Requirements


----------



## hahni (10. Feb. 2008)

Die sind ja erfüllt. Es scheitert meiner Meinung nach an dem regulären Ausdruck!


----------

