Fail2Ban Fehler verstehen

eyespeak · July 18, 2022, 6:51am

Hallo,

ich bekomme seit einiger Zeit immer wieder über Fail2Ban folgende Meldungen:

{"reqId":"xxxxxxxxxxxxxxxx","level":2,"time":"2022-07-18T01:14:21+02:00","remoteAddr":"xxx.xxx.xxx.xxx","user":"--","app":"core","method":"GET","url":"/","message":"Trusted domain error. \"xxx.xxx.xxx.xxx\" tried to access using \"xxx.xxx.xxx.xxx\" as host.","userAgent":"Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1","version":"24.0.2.1"}

Ich sehe da keinen Benutzernamen. Was genau wird hier probiert?
Danke.

PS: Die xxx habe ich ersetzt.

devnull · July 18, 2022, 9:17am

Man kann die Nextcloud über unterschiedliche Namen aufrufen. z. B.:

https://meinenextcloud.dyndnsanbieter.tld
https://192.168.0.42
usw.

In der Variablen trusted domains kann man nun angeben, welche der beiden obigen Adressen erlaubt sein sollen. Entweder hast du etwas falsch konfiguriert oder es wird mit der Adresse ungerechtfertigt zugegriffen.

eyespeak · July 18, 2022, 9:53am

Also das ist klar und auch bekannt. Der Eintrag passt bei mir.

Ich habe es gerade getestet. Es reicht anscheinend schon aus wenn man eine IP/URL aufruft die nicht in der config steht. Allerdings wusste ich nicht der der Fail2Ban zuschlägt, obwohl man hier ja gar kein user/pass eingeben kann:

bb77 · July 18, 2022, 10:32am

Tut er doch gar nicht. Die Meldung, die du gepostet hast sieht nicht so aus als würde sie von Fail2ban kommen. Das ist eine Meldung aus dem Nextcloud Log…

Und deshalb sieht man auch keinen Benutzernamen im Logeintrag

devnull · July 18, 2022, 10:32am

Mit Fail2Ban kenne ich mich nicht aus. Halte ich zudem für vollkommen sinnlos auf einer eigenen, privaten Nextcloud. Kostet nur unnötig Performance und ist fehleranfällig. Ich denke Nextcloud hat eigene Mechanismen, die ausreichend genug sind. Sicherheitsfunktionen, die man nicht versteht, sollte man nicht einsetzen.

Mornsgrans · July 18, 2022, 10:56am

fail2ban loggt i.d.R. in
/var/log/fail2ban.log
oder
/var/log/fail2ban/fail2ban.log

devnull · July 18, 2022, 11:10am

@Mornsgrans
Stimmt. Das war ja ein Nextcloud-Log und gar nicht von Fail2Ban.

eyespeak · July 18, 2022, 11:28am

Brute-force settings nutze ich nicht, weil der keine Benachrichtigung sendet.

Das fail2ban.log gibt da wenig her, der zieht sich die Information aus dem nextcloud.log . Installiert habe ich es so:

Es funktioniert ja alles wie es soll, nur war mir bisher unklar das der auch die IP sperrt, wenn jemand über eine IP/URL kommt die nicht unter trusted domains steht.

Finde ich an der Stelle jetzt auch nicht als Problem für mich an.

bb77 · July 18, 2022, 12:38pm

Das liegt daren wie Fail2ban konfiguriert ist, respektive am Regex Filter in der Datei /etc/fail2ban/filter.d/nextcloud.local, und um ganz genau zu sein, an dieser Zeile:

^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Trusted domain error.

Aber ja, wie du selbst sagst, scheint alles so zu funktioniern wie es soll.