Vor einiger Zeit habe ich eine Beitrag verfasst wie man ownCloud mit Fail2Ban absichern und WordPress mit Fail2Ban absichern kann nun möchte ich zeigen wie man das selbe mit LiveConfig macht.
LiveConfig hinterlegt jegliche Manipulationen am System in einer Log Datei die unter /var/log/liveconfig/liveconfig.log zu finden ist.
Wen sich nun jemand mit einem falschen Benutzer oder Passwort einloggt erscheint folgendes in der Log Datei:
[2016/09/20 11:46:42.375976] [27192|27198] Login failed - invalid/unknown user 'testuser'. Service='Web login', IP='...' [2016/09/20 11:48:45.821841] [27192|27198] Login failed - email='test@onesystems.ch', IP='...'
Genau das nehmen wir uns zu Hilfe und fügen Fail2Ban einen weiteren Filter hinzu der die Log Datei darauf überprüft.
Erstellen der Filterdatei und Konfiguration in Fail2Ban
Erstellen der Datei /etc/fail2ban/filter.d/liveconfig.conf mit folgenden Inhalt:
[Definition] failregex = Login failed - .*, IP='' ignoreregex =
Und in der Datei /etc/fail2ban/jail.conf folgendes hinzufügen:
[liveconfig] enabled = true filter = liveconfig logpath = /var/log/liveconfig/liveconfig.log maxretry = 5
Neue Regeln für Fail2Ban testen
Welches natürlich nur geht, wenn man sich mal falsch anmeldet, sonst kann nichts gefunden werden.
root@w2k.test:/# fail2ban-regex /var/log/liveconfig/liveconfig.log /etc/fail2ban/filter.d/liveconfig.conf Running tests ============= Use failregex filter file : liveconfig, basedir: /etc/fail2ban Use log file : /var/log/liveconfig/liveconfig.log Use encoding : UTF-8 Results ======= Failregex: 1676 total |- #) [# of hits] regular expression | 1) [1676] Login failed - .*, IP='' `- Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [14521] Year(?P<_sep>[-/.])Month(?P=_sep)Day 24hour:Minute:Second(?:,Microseconds)? `- Lines: 132 lines, 0 ignored, 5 matched, 127 missed [processed in 0.17 sec]
Die Regeln funktionieren. Der Service/Daemon Fail2ban kann neu gestartet werden:
root@w2k.test:/# systemctl restart fail2ban
