Logwatch/fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Die Seite wurde neu angelegt: „== Einführung == * Logwatch ** [https://sourceforge.net/projects/logwatch/ Logwatch] ist ein Tool, das logfiles ausliest und zusammenfasst ** Der so generierte Report kann zB per E-Mail versand werden ** Dadurch kann man die Aktivitäten auf einem Server durch Überfliegen des Reports bewerten und Probleme ggf. frühzeitig erkennen ** Mehr Infos dazu im blog: [https://it-muecke.de/start?do=search&id=logwatch logwatch] * Fail2ban ** [https://de.wikipedia.…“
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Einführung ==
== Einführung ==
* Logwatch
; Logwatch
** [https://sourceforge.net/projects/logwatch/ Logwatch] ist ein Tool, das logfiles ausliest und zusammenfasst
* [https://sourceforge.net/projects/logwatch/ Logwatch] ist ein Tool, das logfiles ausliest und zusammenfasst
** Der so generierte Report kann zB per E-Mail versand werden
* Der so generierte Report kann zB per E-Mail versand werden
** Dadurch kann man die Aktivitäten auf einem Server durch Überfliegen des Reports bewerten und Probleme ggf. frühzeitig erkennen
* Dadurch kann man die Aktivitäten auf einem Server durch Überfliegen des Reports bewerten und Probleme ggf. frühzeitig erkennen
** Mehr Infos dazu im blog: [https://it-muecke.de/start?do=search&id=logwatch logwatch]
* Mehr Infos dazu im blog: [https://it-muecke.de/start?do=search&id=logwatch logwatch]
* Fail2ban
; Fail2ban
** [https://de.wikipedia.org/wiki/Fail2ban fail2ban] ist ein Tool, um wiederholte scheiternde Loginversuche automatisch zu erkennen und danach die Quell-IP-Adresse für einen bestimmten Zeitraum zu sperren
* [https://de.wikipedia.org/wiki/Fail2ban fail2ban] ist ein Tool, um wiederholte scheiternde Loginversuche automatisch zu erkennen und danach die Quell-IP-Adresse für einen bestimmten Zeitraum zu sperren
** Wird eine IP-Adresse gesperrt, nennt sich das Ban (to ban - engl. für sperren)
* Wird eine IP-Adresse gesperrt, nennt sich das Ban (to ban - engl. für sperren)
** Wird eine IP-Adresse nach der Sperrfrist wieder entsperrt, so nennt sich das Unban
* Wird eine IP-Adresse nach der Sperrfrist wieder entsperrt, so nennt sich das Unban
** Damit können zB [https://de.wikipedia.org/wiki/Brute-Force-Methode brute force] Attacken nach wenigen Versuchen unterbunden werden
* Damit können zB [https://de.wikipedia.org/wiki/Brute-Force-Methode brute force] Attacken nach wenigen Versuchen unterbunden werden


== Vorgehensweise ==
== Vorgehensweise ==
Zeile 18: Zeile 18:


=== Einrichtung von logwatch ===
=== Einrichtung von logwatch ===
* Logfile-Gruppe definieren
; Logfile-Gruppe definieren
** Dazu folgende Datei anlegen/bearbeiten: <tt>/etc/logwatch/conf/logfiles/fail2ban.conf</tt><br/><nowiki># /etc/logwatch/conf/logfiles/fail2ban.conf</nowiki><br/>
* Dazu folgende Datei anlegen/bearbeiten: <tt>/etc/logwatch/conf/logfiles/fail2ban.conf</tt><br/><nowiki># /etc/logwatch/conf/logfiles/fail2ban.conf</nowiki><br/>
<nowiki># The LogFile path is relative to /var/log by default.</nowiki><br/><nowiki># You can change the default by setting LogDir.</nowiki><br/>LogFile = fail2ban.log<br/>
<nowiki># The LogFile path is relative to /var/log by default.</nowiki><br/><nowiki># You can change the default by setting LogDir.</nowiki><br/>LogFile = fail2ban.log<br/>
<nowiki># This enables searching through zipped archives as well.</nowiki><br/>Archive = fail2ban.log.*.gz<br/>
<nowiki># This enables searching through zipped archives as well.</nowiki><br/>Archive = fail2ban.log.*.gz<br/>
<nowiki># Expand the repeats (actually just removes them now).</nowiki><br/><nowiki>*ExpandRepeats</nowiki>
<nowiki># Expand the repeats (actually just removes them now).</nowiki><br/><nowiki>*ExpandRepeats</nowiki>
* Service definieren
 
** Dazu folgende Datei anlegen/bearbeiten: <tt>/etc/logwatch/conf/services/fail2ban.conf</tt><br/><nowiki># /etc/logwatch//services/fail2ban.conf</nowiki><br/>
; Service definieren
* Dazu folgende Datei anlegen/bearbeiten: <tt>/etc/logwatch/conf/services/fail2ban.conf</tt><br/><nowiki># /etc/logwatch//services/fail2ban.conf</nowiki><br/>
<nowiki># title shown in the report</nowiki><br/>Title = fail2ban-messages<br/>
<nowiki># title shown in the report</nowiki><br/>Title = fail2ban-messages<br/>
<nowiki># logfile group</nowiki><br/>LogFile = fail2ban
<nowiki># logfile group</nowiki><br/>LogFile = fail2ban
* Parse-File
 
** Skript zum Auslesen und Zusammenfassen der Logfiles im gewünschten Umfang
; Parse-File
** Dazu folgende Datei anlegen/bearbeiten: <tt>/etc/logwatch/scripts/services/fail2ban</tt><br/><nowiki>#!/usr/bin/env bash</nowiki><br/><nowiki># /etc/logwatch/scripts/services/fail2ban</nowiki><br/>
* Skript zum Auslesen und Zusammenfassen der Logfiles im gewünschten Umfang
* Dazu folgende Datei anlegen/bearbeiten: <tt>/etc/logwatch/scripts/services/fail2ban</tt><br/><nowiki>#!/usr/bin/env bash</nowiki><br/><nowiki># /etc/logwatch/scripts/services/fail2ban</nowiki><br/>
<nowiki># Change the line separator to split by new lines.</nowiki><br/>OLD_IFS=$IFS<br/>IFS=$'\n'<br/>
<nowiki># Change the line separator to split by new lines.</nowiki><br/>OLD_IFS=$IFS<br/>IFS=$'\n'<br/>
<nowiki># set vars to 0</nowiki><br/>BANS=0<br/>UNBANS=0<br/>
<nowiki># set vars to 0</nowiki><br/>BANS=0<br/>UNBANS=0<br/>
Zeile 35: Zeile 37:
  if echo $LINE|egrep 'NOTICE.*Ban' &> /dev/null; then<br/> BAN=$[$BAN + 1]<br/> fi<br/> if echo $LINE|egrep 'NOTICE.*Unban' &> /dev/null; then<br/> UNBAN=$[$UNBAN + 1]<br/> fi<br/>done<br/>
  if echo $LINE|egrep 'NOTICE.*Ban' &> /dev/null; then<br/> BAN=$[$BAN + 1]<br/> fi<br/> if echo $LINE|egrep 'NOTICE.*Unban' &> /dev/null; then<br/> UNBAN=$[$UNBAN + 1]<br/> fi<br/>done<br/>
echo "$BAN Bans, $UNBAN Unbans"
echo "$BAN Bans, $UNBAN Unbans"
** Hinweise:
 
*** Bei fail2ban werden die Bans und Unbans mit dem Tag NOTICE markiert
; Hinweise
*** Daher gibt dieses Skript nur Zeilen aus, die „NOTICE“ enthalten
:* Bei fail2ban werden die Bans und Unbans mit dem Tag NOTICE markiert
*** Für die Berechnung der Anzahl von Bans und Unbans prüft es die Zeilen mit „NOTICE“ ferner auf „Ban“ oder „Unban“ und zählt entsprechend die Variablen hoch
:* Daher gibt dieses Skript nur Zeilen aus, die „NOTICE“ enthalten
:* Für die Berechnung der Anzahl von Bans und Unbans prüft es die Zeilen mit „NOTICE“ ferner auf „Ban“ oder „Unban“ und zählt entsprechend die Variablen hoch


=== Test ===
=== Test ===

Version vom 14. Oktober 2024, 08:31 Uhr

Einführung

Logwatch
  • Logwatch ist ein Tool, das logfiles ausliest und zusammenfasst
  • Der so generierte Report kann zB per E-Mail versand werden
  • Dadurch kann man die Aktivitäten auf einem Server durch Überfliegen des Reports bewerten und Probleme ggf. frühzeitig erkennen
  • Mehr Infos dazu im blog: logwatch
Fail2ban
  • fail2ban ist ein Tool, um wiederholte scheiternde Loginversuche automatisch zu erkennen und danach die Quell-IP-Adresse für einen bestimmten Zeitraum zu sperren
  • Wird eine IP-Adresse gesperrt, nennt sich das Ban (to ban - engl. für sperren)
  • Wird eine IP-Adresse nach der Sperrfrist wieder entsperrt, so nennt sich das Unban
  • Damit können zB brute force Attacken nach wenigen Versuchen unterbunden werden

Vorgehensweise

Ziele

  • Die fail2ban Logfiles können von logwatch bereits von Haus aus ausgewertet werden
  • Allerdings entspricht der Report nicht meinen Wünschen, denn man erhält eine Liste aller erkannten Login-Versuche und der Bans und Unbans - und das können recht viele sein
  • Mein Wunsch: ich will nur Bans und Unbans sehen und eine Summe der Bans und Unbans

Einrichtung von logwatch

Logfile-Gruppe definieren
  • Dazu folgende Datei anlegen/bearbeiten: /etc/logwatch/conf/logfiles/fail2ban.conf
    # /etc/logwatch/conf/logfiles/fail2ban.conf

# The LogFile path is relative to /var/log by default.
# You can change the default by setting LogDir.
LogFile = fail2ban.log
# This enables searching through zipped archives as well.
Archive = fail2ban.log.*.gz
# Expand the repeats (actually just removes them now).
*ExpandRepeats

Service definieren
  • Dazu folgende Datei anlegen/bearbeiten: /etc/logwatch/conf/services/fail2ban.conf
    # /etc/logwatch//services/fail2ban.conf

# title shown in the report
Title = fail2ban-messages
# logfile group
LogFile = fail2ban

Parse-File
  • Skript zum Auslesen und Zusammenfassen der Logfiles im gewünschten Umfang
  • Dazu folgende Datei anlegen/bearbeiten: /etc/logwatch/scripts/services/fail2ban
    #!/usr/bin/env bash
    # /etc/logwatch/scripts/services/fail2ban

# Change the line separator to split by new lines.
OLD_IFS=$IFS
IFS=$'\n'
# set vars to 0
BANS=0
UNBANS=0
# The contents of the log file are given in stdin.
for LINE in $( cat /dev/stdin ); do
# Only lines matching this regexp will be included.
if echo $LINE|egrep 'NOTICE' &> /dev/null; then
# Every line we echo here will be included in the logwatch report.
echo $LINE
fi

if echo $LINE|egrep 'NOTICE.*Ban' &> /dev/null; then
BAN=$[$BAN + 1]
fi
if echo $LINE|egrep 'NOTICE.*Unban' &> /dev/null; then
UNBAN=$[$UNBAN + 1]
fi
done

echo "$BAN Bans, $UNBAN Unbans"

Hinweise
  • Bei fail2ban werden die Bans und Unbans mit dem Tag NOTICE markiert
  • Daher gibt dieses Skript nur Zeilen aus, die „NOTICE“ enthalten
  • Für die Berechnung der Anzahl von Bans und Unbans prüft es die Zeilen mit „NOTICE“ ferner auf „Ban“ oder „Unban“ und zählt entsprechend die Variablen hoch

Test

  • Ein Test kann mit folgendem Kommando durchgeführt werden
    logwatch --detail high --service fail2ban

# Ausgabe: IP-Adressen wurden anonymisiert, Ausgabe gekürzt

################### Logwatch 7.4.0 (05/29/13) ####################
Processing Initiated: Wed Feb 20 08:54:32 2019
Date Range Processed: yesterday
( 2019-Feb-19 )
Period is day.
Detail Level of Output: 10
Type of Output/Format: stdout / text
Logfiles for Host: host.host.tld
##################################################################
--------------------- fail2ban-messages Begin (detail=1) ------------------------
2019-02-19 00:03:59,539 fail2ban.actions [5355]: NOTICE [plesk-saslauth] Unban 190.220.147.x
2019-02-19 00:44:26,540 fail2ban.actions [5355]: NOTICE [plesk-postfix] Ban 190.220.147.x
[...]
2019-02-19 23:37:27,514 fail2ban.actions [5355]: NOTICE [plesk-saslauth] Unban 119.28.66.x
20 Bans, 24 Unbans

Quellen