Страница 1 из 3 123 ПоследняяПоследняя
Показано с 1 по 10 из 24

Тема: File2ban. Защита ISPmanager 5.

  1. #1
    Junior Member
    Регистрация
    26.03.2014
    Сообщений
    17

    По умолчанию File2ban. Защита ISPmanager 5.

    В ISPmanager версии 4 правила для подключения file2ban были такие:

    /etc/fail2ban/jail.local

    Код:
    enabled   = true
    port      = 80,443,1500
    filter    = ispmanager
    banaction = iptables-multiport
    action    = %(action_mwl)s
    logpath   = /usr/local/ispmgr/var/ispmgr.journal
    findtime  = 600
    maxretry  = 3
    bantime   = 86400
    /etc/fail2ban/filter.d/ispmanager.conf

    Код:
    [Definition]
    failregex = <HOST>\s+nobody\s+auth.+(username|password)=
    ignoreregex =
    В пятой версии ISPmanager это правило уже не работает.
    Лог с IP адресами находится уже по пути /usr/local/mgr5/var/ihttpd.log

    Кто то наверняка уже исправил правила для file2ban.
    Поделитесь пожалуйста.
    Последний раз редактировалось brus46; 16.09.2014 в 23:34.

  2. #2

    По умолчанию

    Сделаю регулярку для fail2ban, если дадите лог не успешной авторизации в ISP Manager 5. Он наверняка находится не в /usr/local/mgr5/var/ihttpd.log, т.к. это лог веб-сервера, а не панели. Должен быть лог панели. У меня сейчас сервер с ISP manager 5 выключен, посмотреть, к сожалению, не могу.

  3. #3
    Junior Member
    Регистрация
    26.03.2014
    Сообщений
    17

    По умолчанию

    Поддержка отписалась, что: "Для версии 5 должен писать в /usr/local/mgr5/var/ispmgr.log", но там почему то тишина. Может быть просто никто не пытается зайти? Себя там вижу. Часть лога отправил в личку.
    Последний раз редактировалось brus46; 24.09.2014 в 15:01.

  4. #4

    По умолчанию

    brus46, в логе ничего такого не увидел. На демо-сервере от ISP System попробовал потестировать - в лог вообще ничего не пишет. ISP Manager 5 у меня конкретно сейчас нигде не установлен, установлю только позже. Или может кто-нибудь из тех. поддержки скажет, какую строчку ISP Manager пишет в лог при не успешной авторизации?

  5. #5
    Support team Аватар для usaafko
    Регистрация
    06.10.2013
    Сообщений
    2,384

    По умолчанию

    Пишет примерно так:
    Код:
    Sep 24 11:03:22 [2847:606] journal INFO Request [<IP>][] 'func=auth&lang=ru&password=*&redirect=&username=xaker'
    Sep 24 11:03:22 [2847:606] db TRACE mgr_db::Cache::Revision* mgr_db::Cache::GetRevision()
    Sep 24 11:03:22 [2847:606] db EXT Exec: BEGIN TRANSACTION
    Sep 24 11:03:22 [2847:606] db EXTINFO Query: 'SELECT * FROM users WHERE name='xaker''
    Sep 24 11:03:22 [2847:606] db EXTINFO Query: 'SELECT * FROM users WHERE name='xaker''
    Sep 24 11:03:22 [2847:606] db EXTINFO Query: 'SELECT e.id FROM email e INNER JOIN emaildomain ed ON e.domain=ed.id WHERE e.name='xaker' AND ed.name='''
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO isp_api::AuthenByPassword(isp_api::BaseConnection const&, std::string const&, std::string const&) (lib/libispapi.so.5.19.7 + 0x2fb) [*0x7f1235fdecc4]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO ??? (lib/libbase.so.5.19.7 + 0x0) [*0x7f1235692f4a]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO isp_api::Action::Run(isp_api::Session&) const (lib/libispapi.so.5.19.7 + 0x7a) [*0x7f1235696379]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO isp_api::InternalCall(isp_api::BaseConnection const&, isp_api::Authen const&, isp_api::Action const&) (lib/libispapi.so.5.19.7 + 0x9d9) [*0x7f1235fbadfb]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO ispcore::ProcessRequest::operator()() (lib/libbase.so.5.19.7 + 0x3cb) [*0x7f1234cd534e]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO ??? (lib/libmgr.so.5.19.7 + 0x0) [*0x33a30079d1]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO ??? (/lib64/libpthread.so.0 + 0x0) [*0x33a28e886d]
    Sep 24 11:03:25 [2847:606] backtrace EXTINFO ??? (/lib64/libc.so.6 + 0x6d) [*(nil)]
    Sep 24 11:03:25 [2847:606] err ERROR Error: Type: 'auth' Object: 'badpassword' Value: ''
    Последний раз редактировалось usaafko; 24.09.2014 в 16:05. Причина: странно вставилось

  6. #6
    Junior Member
    Регистрация
    26.03.2014
    Сообщений
    17

    По умолчанию

    да, есть такие строки

    Код:
    Sep 24 11:12:31 [31722:2963] journal INFO Request [<мой IP>][] 'func=auth&lang=ru&password=*&username=proba'
    Sep 24 11:12:31 [31722:2963] db EXTINFO Query: 'SELECT * FROM users WHERE name='proba''
    Sep 24 11:12:31 [31722:2963] db EXTINFO Query: 'SELECT * FROM users WHERE name='proba''
    Sep 24 11:12:31 [31722:2963] db EXTINFO Query: 'SELECT e.id FROM email e INNER JOIN emaildomain ed ON e.domain=ed.id WHERE e.name='proba' AND ed.name='''
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO mgr_err::Error::Error(std::string const&, std::string const&, std::string const&) (lib/libmgr.so.26 + 0x1f3) [*0xb6aab37b]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO ??? (lib/libispapi.so.26 + 0x0) [*0xb6aaef11]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO isp_api::AuthenByPassword(isp_api::BaseConnection const&, std::string const&, std::string const&) (lib/libispapi.so.26 + 0x38b) [*0xb6f39c02]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO ??? (lib/libbase.so.26 + 0x0) [*0xb6ac1aa3]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO isp_api::Action::Run(isp_api::Session&) const (lib/libispapi.so.26 + 0x22d) [*0xb6ac79e7]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO isp_api::InternalCall(isp_api::BaseConnection const&, isp_api::Authen const&, isp_api::Action const&) (lib/libispapi.so.26 + 0x11e0) [*0xb6f1157d]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO ispcore::ProcessRequest::operator()() (lib/libbase.so.26 + 0x7cb) [*0xb6f1758c]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO mgr_thread::Handle::Impl<ispcore::ProcessRequest>::run() (lib/libbase.so.26 + 0x20) [*0xb6833287]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO ??? (lib/libmgr.so.26 + 0x0) [*0xb7604c39]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO ??? (/lib/i386-linux-gnu/i686/cmov/libpthread.so.0 + 0x0) [*0xb7572a6e]
    Sep 24 11:12:34 [31722:2963] backtrace EXTINFO ??? (/lib/i386-linux-gnu/i686/cmov/libc.so.6 + 0x5e) [*(nil)]
    Sep 24 11:12:34 [31722:2963] err ERROR Error: Type: 'auth' Object: 'badpassword' Value: ''
    Sep 24 11:12:34 [31722:2963] action EXTINFO Get message for error in action 'auth'
    Sep 24 11:12:34 [31722:2963] action EXTINFO Get message for error in action 'mgrerror_auth'
    Sep 24 11:12:34 [31722:2963] action EXTINFO Get message for error in action 'msgerror'
    Sep 24 11:12:34 [31722:2963] core WARNING 0xb08049e8 Restart request
    Sep 24 11:12:34 [31722:2964] journal INFO Request [<мой IP>][] 'func=logon&lang=ru&username=proba'

  7. #7

    По умолчанию

    brus46,
    В таком случае этот код должен работать:

    /etc/fail2ban/jail.local
    Код:
    enabled   = true
    port      = 80,443,1500
    filter    = ispmanager
    banaction = iptables-multiport
    action    = %(action_mwl)s
    logpath   = /usr/local/mgr5/var/ispmgr.log
    findtime  = 600
    maxretry  = 6
    bantime   = 3600
    /etc/fail2ban/filter.d/ispmanager.conf
    Код:
    [Definition]
    failregex = .*journal INFO Request \[<HOST>\]\[\] 'func=auth.*
    ignoreregex =


    Срабатывать будет даже если пользователь верно авторизовался 6 раз за 10 минут, поэтому не рекомендую ставить большие значения bantime и маленькие значения maxretry.

    Если ISP System добавят в лог ispmgr.log примерно такую строку при не успешной авторизации:
    Код:
    Sep 24 13:46:22 [2847:606] journal INFO Request [77.232.232.32][] 'func=auth&lang=ru&password=*&redirect=&username=xaker' status=failed
    а при успешной:
    Код:
    Sep 24 13:46:22 [2847:606] journal INFO Request [77.232.232.32][] 'func=auth&lang=ru&password=*&redirect=&username=xaker' status=success
    то можно будет сделать, чтобы фильтр срабатывал только в случае, если пользователь ввёл неверный пароль.
    Последний раз редактировалось Klinch; 24.09.2014 в 17:31.

  8. #8
    Junior Member
    Регистрация
    26.03.2014
    Сообщений
    17

    По умолчанию

    спасибо, будем пробовать

  9. #9
    Junior Member
    Регистрация
    26.03.2014
    Сообщений
    17

    По умолчанию

    нет, ни как не реагирует

  10. #10

    По умолчанию

    brus46, а вы fail2ban перезапустили? Он никаких ошибок при перезапуске не выдал?

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •