Und noch ein Eintrag aus der Rubrik “Fehlermeldungen verstehen” 
Nachdem ich einen neuen VServer mit ISPConfig3 aufgesetzt habe, habe ich mir zum ersten Mal genauer das fail2ban Logfile angesehen. fail2ban ist ein Tool das die Frequenz von Zugriffen auf den Server registriert und automatisch über die systemeigene Firewall mit iptables einzelne IP-Adressen sperrt wenn diese zu häufig zugreifen wollen. An sich eine schöne Erleichterung für den Sysadmin.
Nun aber zur Fehlermeldung:
ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
Heißt so viel wie “iptables funktioniert nicht”. Ein einfacher Test gibt Aufschluss über den Hintergrund. Einfach in der Kommandozeile mal folgendes eingeben:
modprobe ip_tables
Wenn dann sowas hier kommt
FATAL: Could not load /lib/modules/2.6.36.4-vs2.3.0.36.39-netcup/modules.dep: No such file or directory
bedeutet das, dass iptables nicht geladen wurde und somit auch nicht zur Verfügung steht.
Wie man in der Fehlermeldung sieht, steht besagter Server bei Netcup. Hier soll es angeblich eine Möglichkeit geben dennoch auf iptables zuzugreifen. Ich werde das mal recherchieren und bei Erfolg hier nachtragen. Ansonsten scheint es aber üblich zu sein, dass man keinen Zugriff auf iptables auf einem VServer bekommt.
Weitere Quellen sagen jedoch ohnehin aus, dass fail2ban nicht unbedingt das beste Stück Software ist und gerne auch die Serversicherheit ein wenig runter schraubt. Ich kann das nicht bestätigen und lasse diese Aussage somit einfach mal im Raum stehen, würde mich aber über fachliche Kommentare dazu sehr freuen.
Meine Lösung:
Bisher hab ich noch keine. Ich werde mir mal ein hübsches Script überlegen, was die Zugriffe überwacht und mich dann entsprechend per Mail informiert oder sowas in der Richtung. Auch hier bin ich für jegliche Lösungsvorschläge dankbar.
[EDIT]
In den FAQ von Netcup steht, dass man den Support kontaktieren soll wenn man iptables freigeschaltet haben möchte. Dies habe ich eben getan und warte nun gespannt auf Antwort. Wär natürlich ne feine Sache wenn das klappen würde.
[EDIT 2]
Da hatte ich wohl was falsch verstanden. iptables steht prinzipiell nicht zur Verfügung. Netcup arbeitet aber bereits an einer eigenen API für das vservercontrollpanel. Dadurch wird es möglich sein, fail2ban direkt auf diese API zugreifen zu lassen.
Ein Kollege von mir hat sich jedoch die Arbeit gemacht und für die Übergangszeit ein Script geschrieben mit dem das jetzt schon ohne API funktioniert. Das Script gibts hier:
http://blog.n-durch-x.de/2011/07/fail2ban-auf-netcup-vservern/
Funktioniert bislang tadellos auf meinem Server. Somit klappts dann auch mit fail2ban
melow
12. Juli 2011 at 04:29
portsentry ist auch sehr gut. Horcht auf definierte Ports und wenn wer dort connected wird via iptables die IP geblockt. Mit Whitelist Unterstützung.
Typisch Hackangriffs-Ports, z.B.: SSH/FTP/Telnet etc… lass ich nie auf den Default Ports laufen… immer anderen non-default ports. Dafür aber Portsentry. Nie wieder ein Server gehackt. Seit mindestens 10 Jahren
melow
12. Juli 2011 at 04:29
Achso ja: Portsentry: http://sourceforge.net/projects/sentrytools/
narayan
12. Juli 2011 at 16:18
Cool, klingt gut. Werd ich mir auf jeden Fall mal ansehen. Wenn das Ding bei Angriff auch bestimmte Aktionen durchführen kann, bekommts nen eigenen Beitrag.
narayan
27. Juli 2011 at 15:14
Soweit ich das sehe, braucht portsentry ja auch iptables um korrekt zu funktionieren, richtig?
Dann bringts mir ja leider wieder nix… schade, aber guter Einfall!