BuTscH Posted August 18, 2022 Share Posted August 18, 2022 hey zusammen, mein fail2ban läuft soweit schonmal, nun wollte ich auch emby und nexcloud noch überwachen lassen. Eine config im filter.d Ordner habe ich schon angelegt und auch im jail.local Aktiviert. Ich weiß leider nicht wie ich die log datein von emby und nextcloud im SWAG Container mappen soll damit fail2ban sie lesen kann. So funktioniert es zumindest nicht! Wäre echt toll wenn mir jemand weiterhelfen könnte ich steh da echt auf dem schlauch ^^ Quote Link to comment
mgutt Posted August 18, 2022 Share Posted August 18, 2022 Was heißt so funktioniert es nicht. Also erstmal: lesend reicht Dann kannst du die SWAG Konsole öffnen und damit prüfen, ob die Log-Datei präsent ist: tail /config/log/emby/embyserver.txt Und ob diese Datei verarbeitet wird, hängt von deiner fail2ban Config ab. 1 Quote Link to comment
BuTscH Posted August 18, 2022 Author Share Posted August 18, 2022 Danke ja du hast recht es funktioniert so schon, ich dachte nur es sei falsch weil ich im fail2ban.log error bekomme. Im Emby forum ist jemand der hat auch das Problem aber leider ist dort keine Lösung bis jetzt. 2022-08-18 08:14:40,952 fail2ban.filter [443]: ERROR Failed to process line: '\tFramework: .NET 6.0.2', caught exception: IndexError('string index out of range') 2022-08-18 08:14:42,953 fail2ban.filter [443]: ERROR Failed to process line: '\tOS/Process: x64/x64', caught exception: IndexError('string index out of range') 2022-08-18 08:14:44,955 fail2ban.filter [443]: ERROR Failed to process line: '\tRuntime: system/System.Private.CoreLib.dll', caught exception: IndexError('string index out of range') 2022-08-18 08:14:46,957 fail2ban.filter [443]: ERROR Failed to process line: '\tProcessor count: 4', caught exception: IndexError('string index out of range') 2022-08-18 08:14:48,959 fail2ban.filter [443]: ERROR Failed to process line: '\tData path: /config', caught exception: IndexError('string index out of range') 2022-08-18 08:14:50,962 fail2ban.filter [443]: ERROR Failed to process line: '\tApplication path: /system', caught exception: IndexError('string index out of range') 2022-08-18 08:14:52,965 fail2ban.filter [443]: ERROR Failed to process line: '\tSystem.Exception: System.Exception: Invalid username or password.', caught exception: IndexError('string index out of range') 2022-08-18 08:14:54,968 fail2ban.filter [443]: ERROR Failed to process line: '\tSource: Emby.Server.Implementations', caught exception: IndexError('string index out of range') 2022-08-18 08:14:56,972 fail2ban.filter [443]: ERROR Failed to process line: '\t', caught exception: IndexError('string index out of range') 2022-08-18 08:14:58,974 fail2ban.filter [443]: ERROR Failed to process line: '2022-08-18 08:14:40.603 Info HttpClient: POST https://connect.emby.media/service/user/authenticate', caught exception: IndexError('string index out of range') 2022-08-18 08:15:00,977 fail2ban.filter [443]: ERROR Failed to process line: '2022-08-18 08:14:41.049 Warn Server: AUTH-ERROR: xx.xx.xxx.xx - Invalid username or password entered.', caught exception: IndexError('string index out of range') 2022-08-18 08:15:02,979 fail2ban.filter [443]: ERROR Failed to process line: '2022-08-18 08:14:41.049 Error Server: Invalid username or password entered.', caught exception: IndexError('string index out of range') die emby.conf datei habe ich aus dem Emby Forum. Diese ist schon älter vielleicht hat sich ja irgendwas verändert in der Zeit. # Fail2Ban for emby # # [Definition] failregex = AUTH-ERROR: <HOST> - Invalid user HTTP Response 401 to <HOST>. ignoreregex = Quote Link to comment
mgutt Posted August 18, 2022 Share Posted August 18, 2022 Fail2ban hat scheinbar einen Bug und kommt mit dem Zeichen \t (Tabulator) nicht klar. Müsstet ihr also fail2ban melden. Und emby könnte man melden, dass kein sollches Zeichen in den Logs landet 1 Quote Link to comment
BuTscH Posted August 18, 2022 Author Share Posted August 18, 2022 4 hours ago, mgutt said: Fail2ban hat scheinbar einen Bug und kommt mit dem Zeichen \t (Tabulator) nicht klar. Müsstet ihr also fail2ban melden. Und emby könnte man melden, dass kein sollches Zeichen in den Logs landet Alles klar dankeschön das werd ich mal so weitergeben ^^ Eine Frage hätte ich noch bezüglich Nextcloud und fail2ban. Ich finde bei meinem Nextcloud Docker nur eine access.log Datei unter \appdata\nextcloud\log\nginx Dort werden aber keine fehlerhaften Login versuche dokumentiert. In der Weboberfläche jedoch schon, nur weiß ich leider nicht wo die Datei liegt und wie ich dort zugriff drauf bekommen. Ich kann lediglich eine Protokolldatei downloaden und habe dann ein nextcloud.log wo die fehlerhaften Login versuche drinstehen. Quote Link to comment
Patty92 Posted August 18, 2022 Share Posted August 18, 2022 Welchen Container verwendest du? Guck mal bitte in das data-Verzeichnis von nextcloud. z.B. "\appdata\nextcloud\data\nextcloud.log" 1 Quote Link to comment
BuTscH Posted August 18, 2022 Author Share Posted August 18, 2022 8 minutes ago, Patty92 said: Welchen Container verwendest du? Gute Frage der ist schon ziemlich alt den habe ich vor c.a. 2 Jahren installiert. 9 minutes ago, Patty92 said: Guck mal bitte in das data-Verzeichnis von nextcloud. z.B. "\appdata\nextcloud\data\nextcloud.log" Das Verzeichniss habe ich leider nicht, ich habe mit der suche auch schon nacht nextcloud.log gesucht, aber sie schein wirklich nicht dabei zu sein. Quote Link to comment
Patty92 Posted August 18, 2022 Share Posted August 18, 2022 Den von linuxserver habe ich auch. Guck mal bitte bei dem Container in die Konfiguration, da gibt es unter anderem: Path: /data* Appdata:* Den Pfad, den du bei "Path: /data*" angeben hast, ist auch das Verzeichnis indem die log zu finden ist. Dort werden auch die Verzeichnisse für die Benutzer angelegt und deren Uploads. 1 Quote Link to comment
BuTscH Posted August 18, 2022 Author Share Posted August 18, 2022 (edited) 18 minutes ago, Patty92 said: Den Pfad, den du bei "Path: /data*" angeben hast, ist auch das Verzeichnis indem die log zu finden ist. Dort werden auch die Verzeichnisse für die Benutzer angelegt und deren Uploads. Ohh mann... da war ich ziemlich blind diesen Ordner habe ich komplett vergssen ^^ Vielen Dank da ist sie fail2ban läuft jetzt auch mit nextcloud Edited August 18, 2022 by BuTscH 1 Quote Link to comment
BuTscH Posted August 18, 2022 Author Share Posted August 18, 2022 Ich habe mir nochmal ein paar Gedanken zum Thema GeoIP2 gemacht. Die letzten Tage über hatte ich viele Anfragen von ausländischen IP's Die GeoIP2 Mod funktioniert soweit auch auch gibt 404 aus sobald eine IP außerhalb von Deutschland drauf zugreifen. Nur waren die zugriffen ziemlich hartnäckig und haben es trotzdem weiter probiert. Nun dachte ich mir das ich mit Fail2ban gleich einfach alle IP's außerhalb deutschlands banne sobald sie zugreifen. ich hatte es erst mit einer config versucht die 404 gleich bannt, aber damit habe ich mich beim benutzen von Nextcloud selber ausgesperrt Dann habe ich Geoip2 so eingestellt das es 451 ausgibt und mir dementsprechend eine config angelegt. # Fail2Ban for GeoIP # # [Definition] failregex = ^<HOST>.*"(GET|POST).*" (451) .*$ ignoreregex = Soweit funktioniert das auch und ich sperre mich nicht mehr selber nicht aus Weiß vielleicht jemand ob man dies auch ein bisschen "eleganter" lösen könnte? Oder kann man das so ruhig machen? Quote Link to comment
mgutt Posted August 20, 2022 Share Posted August 20, 2022 Blöde Frage. Warum antwortet GeoIP überhaupt?! Kannst du nicht 444 einstellen? Das ist ein spezieller Nginx Status, wo der Angreifer einfach gar keine Antwort erhält. Bei 404 ist es klar, dass weiterversucht wird, weil das ja nur sagt, dass eine bestimmte URL gerade nicht geht, aber vielleicht gehen ja andere. Daher wird weiter versucht. Dass mit Fail2Ban zu lösen, halte ich für den falschen Weg. GeoIP soll seinen Job richtig machen. Und sonst solltest du dir das übertriebene Sichten von Logs abgewöhnen. Was GeoIP blockt sollte dich nicht weiter interessieren. Geblockt ist geblockt. 1 Quote Link to comment
BuTscH Posted August 20, 2022 Author Share Posted August 20, 2022 39 minutes ago, mgutt said: Blöde Frage. Warum antwortet GeoIP überhaupt?! Kannst du nicht 444 einstellen? Das ist ein spezieller Nginx Status, wo der Angreifer einfach gar keine Antwort erhält. ich hatte mich beim erstmaligen einrichten von GeoIP an die Anleitung gehalten und dort wird es mit 404 gemacht. https://github.com/linuxserver/docker-mods/tree/swag-maxmind Danke für die Idee mit 444! Das wäre natürlich optimal wenn er garkeine Antwort gibt, das werde ich so mal ausprobieren. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.