SWAG fail2ban

[BuTscH]

hey zusammen,

 

mein fail2ban läuft soweit schonmal, nun wollte ich auch emby und nexcloud noch überwachen lassen.

Eine config im filter.d Ordner habe ich schon angelegt und auch im jail.local Aktiviert. Ich weiß leider nicht wie ich die log datein von emby und nextcloud im SWAG Container mappen soll damit fail2ban sie lesen kann.

So funktioniert es zumindest nicht!

Wäre echt toll wenn mir jemand weiterhelfen könnte ich steh da echt auf dem schlauch ^^

[mgutt]

Was heißt so funktioniert es nicht.

 

Also erstmal: lesend reicht

 

Dann kannst du die SWAG Konsole öffnen und damit prüfen, ob die Log-Datei präsent ist:

tail /config/log/emby/embyserver.txt

 

Und ob diese Datei verarbeitet wird, hängt von deiner fail2ban Config ab.

[BuTscH]

Danke ja du hast recht es funktioniert so schon, ich dachte nur es sei falsch weil ich im fail2ban.log error bekomme.

 

Im Emby forum ist jemand der hat auch das Problem aber leider ist dort keine Lösung bis jetzt.

 

2022-08-18 08:14:40,952 fail2ban.filter         [443]: ERROR   Failed to process line: '\tFramework: .NET 6.0.2', caught exception: IndexError('string index out of range')
2022-08-18 08:14:42,953 fail2ban.filter         [443]: ERROR   Failed to process line: '\tOS/Process: x64/x64', caught exception: IndexError('string index out of range')
2022-08-18 08:14:44,955 fail2ban.filter         [443]: ERROR   Failed to process line: '\tRuntime: system/System.Private.CoreLib.dll', caught exception: IndexError('string index out of range')
2022-08-18 08:14:46,957 fail2ban.filter         [443]: ERROR   Failed to process line: '\tProcessor count: 4', caught exception: IndexError('string index out of range')
2022-08-18 08:14:48,959 fail2ban.filter         [443]: ERROR   Failed to process line: '\tData path: /config', caught exception: IndexError('string index out of range')
2022-08-18 08:14:50,962 fail2ban.filter         [443]: ERROR   Failed to process line: '\tApplication path: /system', caught exception: IndexError('string index out of range')
2022-08-18 08:14:52,965 fail2ban.filter         [443]: ERROR   Failed to process line: '\tSystem.Exception: System.Exception: Invalid username or password.', caught exception: IndexError('string index out of range')
2022-08-18 08:14:54,968 fail2ban.filter         [443]: ERROR   Failed to process line: '\tSource: Emby.Server.Implementations', caught exception: IndexError('string index out of range')
2022-08-18 08:14:56,972 fail2ban.filter         [443]: ERROR   Failed to process line: '\t', caught exception: IndexError('string index out of range')
2022-08-18 08:14:58,974 fail2ban.filter         [443]: ERROR   Failed to process line: '2022-08-18 08:14:40.603 Info HttpClient: POST https://connect.emby.media/service/user/authenticate', caught exception: IndexError('string index out of range')
2022-08-18 08:15:00,977 fail2ban.filter         [443]: ERROR   Failed to process line: '2022-08-18 08:14:41.049 Warn Server: AUTH-ERROR: xx.xx.xxx.xx - Invalid username or password entered.', caught exception: IndexError('string index out of range')
2022-08-18 08:15:02,979 fail2ban.filter         [443]: ERROR   Failed to process line: '2022-08-18 08:14:41.049 Error Server: Invalid username or password entered.', caught exception: IndexError('string index out of range')

 

die emby.conf datei habe ich aus dem Emby Forum. Diese ist schon älter vielleicht hat sich ja irgendwas verändert in der Zeit.
 

# Fail2Ban for emby
#
#
[Definition]
failregex = AUTH-ERROR: <HOST> - Invalid user
    HTTP Response 401 to <HOST>.
ignoreregex =

 

[mgutt]

Fail2ban hat scheinbar einen Bug und kommt mit dem Zeichen \t (Tabulator) nicht klar.

 

Müsstet ihr also fail2ban melden.

 

Und emby könnte man melden, dass kein sollches Zeichen in den Logs landet

[BuTscH]

4 hours ago, mgutt said:

Fail2ban hat scheinbar einen Bug und kommt mit dem Zeichen \t (Tabulator) nicht klar.

 

Müsstet ihr also fail2ban melden.

 

Und emby könnte man melden, dass kein sollches Zeichen in den Logs landet

 Alles klar dankeschön das werd ich mal so weitergeben ^^

 

Eine Frage hätte ich noch bezüglich Nextcloud und fail2ban. Ich finde bei meinem Nextcloud Docker nur eine access.log Datei unter \appdata\nextcloud\log\nginx

Dort werden aber keine fehlerhaften Login versuche dokumentiert.

In der Weboberfläche jedoch schon, nur weiß ich leider nicht wo die Datei liegt und wie ich dort zugriff drauf bekommen. Ich kann le­dig­lich eine Protokolldatei downloaden und habe dann ein nextcloud.log wo die fehlerhaften Login versuche drin­ste­hen.

[Patty92]

Welchen Container verwendest du?

 

Guck mal bitte in das data-Verzeichnis von nextcloud.

z.B. "\appdata\nextcloud\data\nextcloud.log"

[BuTscH]

8 minutes ago, Patty92 said:

Welchen Container verwendest du?

Gute Frage der ist schon ziemlich alt den habe ich vor c.a. 2 Jahren installiert.

 

9 minutes ago, Patty92 said:

Guck mal bitte in das data-Verzeichnis von nextcloud.

z.B. "\appdata\nextcloud\data\nextcloud.log"

Das Verzeichniss habe ich leider nicht, ich habe mit der suche auch schon nacht nextcloud.log gesucht, aber sie schein wirklich nicht dabei zu sein.

[Patty92]

Den von linuxserver habe ich auch.

Guck mal bitte bei dem Container in die Konfiguration, da gibt es unter anderem:

 

Path: /data*

Appdata:*

 

Den Pfad, den du bei "Path: /data*" angeben hast, ist auch das Verzeichnis indem die log zu finden ist.

Dort werden auch die Verzeichnisse für die Benutzer angelegt und deren Uploads.

[BuTscH]

18 minutes ago, Patty92 said:

Den Pfad, den du bei "Path: /data*" angeben hast, ist auch das Verzeichnis indem die log zu finden ist.

Dort werden auch die Verzeichnisse für die Benutzer angelegt und deren Uploads.

Ohh mann... da war ich ziemlich blind diesen Ordner habe ich komplett vergssen ^^  Vielen Dank da ist sie

 

fail2ban läuft jetzt auch mit nextcloud

Edited August 18, 2022 by BuTscH

[BuTscH]

Ich habe mir nochmal ein paar Gedanken zum Thema GeoIP2 gemacht.

Die letzten Tage über hatte ich viele Anfragen von ausländischen IP's

Die GeoIP2 Mod funktioniert soweit auch auch gibt 404 aus sobald eine IP außerhalb von Deutschland drauf zugreifen.

 

Nur waren die zugriffen ziemlich hartnäckig und haben es trotzdem weiter probiert.

Nun dachte ich mir das ich mit Fail2ban gleich einfach alle IP's außerhalb deutschlands banne sobald sie zugreifen.

 

ich hatte es erst mit einer config versucht die 404 gleich bannt, aber damit habe ich mich beim benutzen von Nextcloud selber ausgesperrt

 

Dann habe ich Geoip2 so eingestellt das es 451 ausgibt und mir dementsprechend eine config angelegt.

# Fail2Ban for GeoIP
#
#
[Definition]
 
failregex = ^<HOST>.*"(GET|POST).*" (451) .*$ 
ignoreregex =

Soweit funktioniert das auch und ich sperre mich nicht mehr selber nicht aus

 

Weiß vielleicht jemand ob man dies auch ein bisschen "eleganter" lösen könnte? Oder kann man das so ruhig machen?

[mgutt]

Blöde Frage. Warum antwortet GeoIP überhaupt?! Kannst du nicht 444 einstellen? Das ist ein spezieller Nginx Status, wo der Angreifer einfach gar keine Antwort erhält.

 

Bei 404 ist es klar, dass weiterversucht wird, weil das ja nur sagt, dass eine bestimmte URL gerade nicht geht, aber vielleicht gehen ja andere. Daher wird weiter versucht.

 

Dass mit Fail2Ban zu lösen, halte ich für den falschen Weg. GeoIP soll seinen Job richtig machen. Und sonst solltest du dir das übertriebene Sichten von Logs abgewöhnen. Was GeoIP blockt sollte dich nicht weiter interessieren. Geblockt ist geblockt.

 

 

[BuTscH]

39 minutes ago, mgutt said:

Blöde Frage. Warum antwortet GeoIP überhaupt?! Kannst du nicht 444 einstellen? Das ist ein spezieller Nginx Status, wo der Angreifer einfach gar keine Antwort erhält.

ich hatte mich beim erstmaligen einrichten von GeoIP an die Anleitung gehalten und dort wird es mit 404 gemacht.
https://github.com/linuxserver/docker-mods/tree/swag-maxmind

 

Danke für die Idee mit 444! Das wäre natürlich optimal wenn er garkeine Antwort gibt, das werde ich so mal ausprobieren.