Perl und Fail2Ban (gelöst) (Allgemeines zu Perl)

[thread]21214[/thread]

Perl und Fail2Ban [gelöst]

Tags: perl5 Ähnliche Threads

Leser: 6

Articles: hide open all | hide show old branches

+16 replies
Gast Gast

2021-07-20 13:34

Hallo,

ich habe ein script mit dem anhand bestimmter Kriterien, bestimmte IPs blockiert werden.
Einige dieser IPs werden aufgrund festgelegter Kriterien, direkt in die .htaccess geschrieben.
Statt die .htaccess weiter zu bemühen, versuche ich gerade, diese IPs an Fail2Ban zu übergeben; das scheitert jedoch weil das Perlscript nicht unter root läuft.
Hat jemand eine Idee wie das funktionieren könnte?
Last edited: 2021-07-20 14:11:27 +0200 (CEST)
- +9 replies
- GwenDragon
  
  2021-07-20 15:42
  User since
  2005-01-17
  14748 Artikel
  Admin1
  Meine Idee (ungetestet) ist so:
  
  1. IP in eine Logdatei badip.log schreiben
  Block 54.174.123.144
  
  2. in Fail2ban einen Filter hinzufügen
  
  Filter blockip.conf
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
  
  # Fail2Ban filter for block of IPs [Definition] # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+) # Values: TEXT # # log file: # Block 54.174.123.144 # failregex = Block.*<HOST> # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex =
  
  3. Jail benutzen, die sofort und dauerhaft sperrt.
  
  Abschnitt in jail.local (Anpassung nötig!):
  
  Code: (dl )
  
  1 2 3 4 5 6 7
  
  [blockip] maxretry = 1 bantime = -1 enabled = true filter = blockip action = iptables-multiport[name=blockip, port="http,https"] logpath = /var/www/vhosts/example.com/logs/badip.log
  
  Last edited: 2021-07-20 16:59:00 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +8 replies
  - Gast Gast
    
    2021-07-21 14:27
    
    Ja - so mache ich das aktuell; und es funktioniert auch.
    Nachteilig ist allerdings dass der Anwender root Rechte für die Erzeugung des Filters benötigt.
    Die Lösung scheidet also für reine Webspace Anwender aus.
    Last edited: 2021-07-21 14:36:30 +0200 (CEST)
    - +7 replies
    - GwenDragon
      
      2021-07-21 14:38
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Da Fail2ban nie mit den niedrigen Webnutzer-Rechten läuft, geht es eben nicht.
      Da musst du deinen Support/Serveradministration darum bitten das für Fail2ban hinzu zu fügen.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +6 replies
      - Gast Gast
        
        2021-07-21 15:20
        
        Ich schrieb ja schon das es mit dem Filter bei mir läuft - denn ich bin der Admin ;-)
        Hatte nur die Idee dass es auch für reine Webspace Anwender eine mögliche Lösung geben sollte. Aber das scheint Wunschdenken zu sein - Schade.
        Ich versuche es jetzt mal via IPtables aber das wird wohl auch an den Rechten scheitern.
        Last edited: 2021-07-21 19:00:21 +0200 (CEST)
        
        Gast Gast
        
        2021-07-21 22:21
        
        Wie schon befürchtet:
        iptables -A INPUT -s [IP] -j DROP
        funktioniert auch nur mit root Rechten (oder Eintrag in die sudo Liste - aber das setzt dann auch wieder root vorus).
        Last edited: 2021-07-21 22:32:21 +0200 (CEST)
        
        +2 replies
        
        GwenDragon
        
        2021-07-22 09:16
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Auf den IPFilter des Kernels kann man nur mit Root-Rechten zugreifen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        Gast Gast
        
        2021-07-23 15:03
        
        2021-07-22T07:16:23 GwenDragon
        Auf den IPFilter des Kernels kann man nur mit Root-Rechten zugreifen.
        
        Ja so ist das ... (s.w.o.)
        Last edited: 2021-07-23 20:14:56 +0200 (CEST)
        
        +2 replies
        
        haj
        
        2021-07-22 09:19
        
        User since
        2015-01-07
        555 Artikel
        BenutzerIn
        
        Guest Gast
        Hatte nur die Idee dass es auch für reine Webspace Anwender eine mögliche Lösung geben sollte.
        
        Zwei Ideen dazu:
        
        Webspace-Anwender schreiben ihre Blockadewünsche in eine Datei in ihrem Bereich und ein berechtigter cron-Job liest die gelegentlich aus und übergibt die Einträge an Fail2Ban. In Echtzeit geht's auch, wenn ein Service die enstprechenden Verzeichnisse mit inotify überwacht. Da gibt es weniger Sicherheitsprobleme (außer "Selbstblockade" durch falsche Einträge), dafür ist die Rückmeldung an den Anwender, ob's denn geklappt hat mit dem Weitergeben an Fail2Ban oder iptables, etwas mühsam.
        Bei sudo braucht's root-Rechte nur für das Einrichten. Man kann da aber schon für einen Benutzer oder eine Gruppe Rechte nur für ein bestimmtes Kommando vergeben, einschließlich Vorgaben für die Parameter des Kommandos. Das Kommando kann auch ein Perl-Skript sein, das dann selbst weitere Prüfungen durchführen kann bevor es eine IP-Adresse an Fail2Ban weitergibt. Parameterprüfung ist in jedem Fall ratsam, um unfreiwillige (oder auch gewollte) Totalblockaden zu vermeiden!
        In jedem Fall muss man da ganz genau hinschauen, was findige Webspace-Anwender mit so einer Möglichkeit anrichten können. Die Verlockung, auf dem Weg Code einzuschleusen zu können, ist groß...
        
        Gast Gast
        
        2021-07-23 15:08
        
        Danke für die Mühe
        Last edited: 2021-07-23 20:15:06 +0200 (CEST)
- +6 replies
- Gast Gast42
  
  2021-07-24 16:51
  
  Schon eine Lösung gefunden und das Problem erledigt?
  Last edited: 2021-07-24 17:41:00 +0200 (CEST)
  - +5 replies
  - Gast Gast
    
    2021-07-25 14:13
    
    Guest Gast42
    Schon eine Lösung gefunden und das Problem erledigt?
    Bisher leider nicht - es scheint auch keine Lösung zu geben.
    Last edited: 2021-07-25 20:14:01 +0200 (CEST)
    - +4 replies
    - bianca
      
      2021-07-26 09:04
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      Warum gehen haj's Vorschläge nicht?
      10 print "Hallo"
      20 goto 10
      - +3 replies
      - Gast Gast
        
        2021-07-26 12:35
        
        Weil auch dazu root Rechte benötigt werden.
        Last edited: 2021-07-26 13:13:42 +0200 (CEST)
        
        +2 replies
        
        GwenDragon
        
        2021-07-26 13:17
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Natürlich können Standardnutzer keine Jails+Filter erstellen. Sonst könnte ja jeder jemandanders blockieren.
        Wozu brauchst du genau root-Rechte?
        
        Jeder Webbenutzt kann sich doch ein eigene Log schrieben und das liest fail2ban per Filter/Jail aus, und Filter und Jail erstellst doch du als root (admin) einmalig für alle Nutzer.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        Gast Gast
        
        2021-07-26 14:00
        
        2021-07-26T11:17:28 GwenDragon
        Jeder Webbenutzt kann sich doch ein eigene Log schrieben und das liest fail2ban per Filter/Jail aus, und Filter und Jail erstellst doch du als root (admin) einmalig für alle Nutzer.
        
        Richtig.
        Das ist dann aber eine Insellösung die zwar auf meinem Server möglich ist (und da funktioniert sie ja auch so), auf anderen Servern aber immer die Einsatzbereitschaft des dortigen Admin erfordert.
        Last edited: 2021-07-26 18:05:30 +0200 (CEST)

View all threads created 2021-07-20 13:34.