Fail2ban: Already banned
Mithilfe des Tools Fail2ban kann man automatisiert Logdateien überwachen lassen und entsprechend konfigurierbarer Regeln bestimmen, ab welcher Anzahl an bestimmten Logeinträgen in einem bestimmten Zeitraum z.B. eine IP in die Firewall geworfen werden soll. Auf Fehlkonfiguration ist bei Fail2ban ist allerdings peinlich genau zu achten.
Nicht abgedeckte Ports
Falls eine konfigurierte Regel nicht alle Ports des zu überwachenden Prozesses abdeckt, kommt es zu dem Phänomen, dass Fail2ban dieselbe IP immer und immer wieder blocken möchte. Im Logfile /var/log/fail2ban.log macht sich das wie folgt bemerkbar.
2016-01-01 12:00:00,000 fail2ban.actions: INFO [process] xxx.xxx.xxx.xxx already banned
Dies weist darauf hin, dass weiterhin Anfragen den Prozess belästigen, obwohl bereits vorher von Fail2ban festgestellt wurde, dass dies geblockt gehört.
Beispiel
Bei einem Mailserver sind eine Menge an Ports im Spiel und so kann es sein, dass man bei der Fail2ban-Konfiguration z.B. den Message-Submission-Port submission vergisst und ein Bot trotz Blockversuch fröhlich weiterversucht, seinen Spam über den smtpd zu verschleudern.
[sasl] enabled = true port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s,submission filter = sasl logpath = /var/log/mail.log
Fazit
So ein Blick ins Log von Fail2ban ist immer mal wieder zu etwas gut. Ich hoffe, dass der Hinweis Euch hilft. 
Kommentare