Fail2Ban startet nicht

Hey Folks,

ich habe Nextcloud nach der Anleitung von Carsten Rieger installiert. Leider gelingt es mir nicht Fail2Ban zu installieren bzw. bei der Status-Abfrage erhalte ich folgende Fehlermeldung:

Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?

Kennt jemand dieses Problem?

Danke im Voraus
PD

Hallo,
was sagt denn der Befehl „systemctl status fail2ban“?

● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Tue 2020-06-02 14:17:38 UTC; 7h ago
Docs: man:fail2ban(1)
Process: 14788 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255)
Process: 14782 ExecStartPre=/bin/mkdir -p /var/run/fail2ban (code=exited, status=0/SUCCESS)
Main PID: 14788 (code=exited, status=255)

Jun 02 14:17:38 nextcloud systemd[1]: Starting Fail2Ban Service…
Jun 02 14:17:38 nextcloud systemd[1]: Started Fail2Ban Service.
Jun 02 14:17:38 nextcloud fail2ban-server[14788]: Failed during configuration: Bad value substitution: option ‘action’ in section ‘sshd’ contains an interpolation key ‘action_mw1’ which is not a valid option na
Jun 02 14:17:38 nextcloud fail2ban-server[14788]: Async configuration of server failed
Jun 02 14:17:38 nextcloud systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/n/a
Jun 02 14:17:38 nextcloud systemd[1]: fail2ban.service: Failed with result ‘exit-code’.

Das sieht nach einem Tippfehler im Jail für SSH aus: key ‘action_mw1’ gibt es nicht.

Gucke mal in der Konfiguration für den jail ssh ([sshd]) nach. Vermutlich steht dort:
action = %(action_mw1)s

Korrekt ist für diese Action jedoch:
action = %(action_mwl)s

2 Likes

Vielen Dank für Deine schnelle Antwort, Tamsy.
In welcher Datei dürfte dieser Eintrag zu finden sein? Ad hoc konnte ich diesen leider nicht finden.

/etc/fail2ban/filter.d/sshd.conf
/etc/pam.d/sshd
/etc/systemd/system/sshd.service
/etc/ssh/sshd_config
/snap/core/9066/etc/pam.d/sshd
/snap/core/9066/etc/ssh/sshd_config
/snap/core/9066/etc/systemd/system/sshd.service
/snap/core/9066/lib/systemd/system/multi-user.target.wants/snapd.sshd-keygen.service
/snap/core/9066/lib/systemd/system/snapd.sshd-keygen.service
/snap/core/9066/usr/lib/snapd/sshd-host-keygen
/snap/core/9066/usr/lib/tmpfiles.d/sshd.conf
/snap/core/9066/usr/sbin/sshd
/snap/core/9066/var/lib/systemd/deb-systemd-helper-enabled/sshd.service
/snap/core/8935/etc/pam.d/sshd
/snap/core/8935/etc/ssh/sshd_config
/snap/core/8935/etc/systemd/system/sshd.service
/snap/core/8935/lib/systemd/system/multi-user.target.wants/snapd.sshd-keygen.service
/snap/core/8935/lib/systemd/system/snapd.sshd-keygen.service
/snap/core/8935/usr/lib/snapd/sshd-host-keygen
/snap/core/8935/usr/lib/tmpfiles.d/sshd.conf
/snap/core/8935/usr/sbin/sshd
/snap/core/8935/var/lib/systemd/deb-systemd-helper-enabled/sshd.service

Welche Linux-Distribution ist installiert?

Gucke mal in die folgenden Dateien:

  • /etc/fail2ban/jail.conf
  • /etc/fail2ban/jail.local
  • /etc/fail2ban/jail.d/defaults-[Deine Distri].conf

Aus dem Logfileabschnitt ist erkennbar, dass sich der Typo unter:
[sshd]
enabled = true
action = %(action_mw1)s
eingeschlichen hat.

Du kannst auch nach der Datei mit dem Fehler suchen. Als root von der Konsole:
$ cd /etc/fail2ban
$ find . -type f -exec grep -l “action_mw1” {} +

Super, Tamsy! Es stand in der ersten Datei.
Vielen Dank! Jetzt läuft Fail2Ban wieder einwandfrei. Ich danke Dir vielmals für Deine schnelle Hilfe. Wirklich ein super Forum hier.

Eine schöne Woche
PD

Gerne, keine Ursache.

Setze den Thread doch bitte noch auf [Gelöst], für andere Nutzer, die vor ähnlichem Problem stehen.

Hallo Zusammen,
ich habe eine Ubuntu Server 20.04 mit apache und nextcloud 21 vor ein paar Tagen installiert und heute versucht das fail2ban zu aktivieren.
ich erhalten leider auch die Failed to access Fehlermeldung, aber die beschriebenen Punkte habe ich überprüft, aber leider ohne Erfolg.
ERROR Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?
Habt ihr noch einen Tipp für mich?
Gruß spooner

Hi @spooner

Was sagt denn systemctl status fail2ban ?

Hi,
anbei die Ausgabe:
systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor pres>
Active: failed (Result: exit-code) since Tue 2021-05-25 22:34:35 CEST; 10h>
Docs: man:fail2ban(1)
Process: 962 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=>
Process: 969 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, sta>
Main PID: 969 (code=exited, status=255/EXCEPTION)

May 25 22:34:35 nextcloud01 systemd[1]: Starting Fail2Ban Service…
May 25 22:34:35 nextcloud01 systemd[1]: Started Fail2Ban Service.
May 25 22:34:35 nextcloud01 fail2ban-server[969]: 2021-05-25 22:34:35,426 fail2>
May 25 22:34:35 nextcloud01 fail2ban-server[969]: file: '/etc/fail2ban/jail.con>
May 25 22:34:35 nextcloud01 fail2ban-server[969]: ‘enabled = true\n’
May 25 22:34:35 nextcloud01 fail2ban-server[969]: 2021-05-25 22:34:35,428 fail2>
May 25 22:34:35 nextcloud01 systemd[1]: fail2ban.service: Main process exited, >
May 25 22:34:35 nextcloud01 systemd[1]: fail2ban.service: Failed with result 'e>
lines 1-16/16 (END)

Try to rename the file to jail.conf

mv /etc/fail2ban/jail.con /etc/fail2ban/jail.conf

and then restart the fail2ban service:

systemctl restart fail2ban

die Datei heißt schon .conf

/etc/fail2ban$ ls -alh
total 108K
drwxr-xr-x 6 root root 4.0K May 25 22:38 .
drwxr-xr-x 141 root root 12K May 25 21:50 …
drwxr-xr-x 2 root root 4.0K May 25 21:50 action.d
-rw-r–r-- 1 root root 2.8K Jan 11 2020 fail2ban.conf
drwxr-xr-x 2 root root 4.0K Mar 2 2020 fail2ban.d
drwxr-xr-x 3 root root 4.0K May 25 21:54 filter.d
-rw-r–r-- 1 root root 26K May 25 22:32 jail.conf
drwxr-xr-x 2 root root 4.0K May 25 22:19 jail.d
-rw-r–r-- 1 root root 26K May 25 22:26 jail.local
-rw-r–r-- 1 root root 645 Jan 11 2020 paths-arch.conf
-rw-r–r-- 1 root root 2.8K Jan 11 2020 paths-common.conf
-rw-r–r-- 1 root root 573 Jan 11 2020 paths-debian.conf
-rw-r–r-- 1 root root 738 Jan 11 2020 paths-opensuse.conf

sudo systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Wed 2021-05-26 10:30:34 CEST; 4min 41s ago
Docs: man:fail2ban(1)
Process: 5597 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=0/SUCCESS)
Process: 5606 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
Main PID: 5606 (code=exited, status=255/EXCEPTION)

May 26 10:30:34 nextcloud01 systemd[1]: Starting Fail2Ban Service…
May 26 10:30:34 nextcloud01 systemd[1]: Started Fail2Ban Service.
May 26 10:30:34 nextcloud01 fail2ban-server[5606]: 2021-05-26 10:30:34,991 fail2ban [5606]: >
May 26 10:30:34 nextcloud01 fail2ban-server[5606]: file: ‘/etc/fail2ban/jail.conf’, line: 24
May 26 10:30:34 nextcloud01 fail2ban-server[5606]: ‘enabled = true\n’
May 26 10:30:34 nextcloud01 fail2ban-server[5606]: 2021-05-26 10:30:34,992 fail2ban [5606]: >
May 26 10:30:34 nextcloud01 systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/EXCE>
May 26 10:30:34 nextcloud01 systemd[1]: fail2ban.service: Failed with result ‘exit-code’.

Welches OS nutzt du und was ist auf Linie 24 in diesem File? Ich tippe mal du hast in den folgenden Zeilen den Kommentar (#) entfernt…

# [sshd]
# enabled = true

Normalerweise solltest du in diesem File nichts direkt ändern. Wenn du irgendwelche Einstellungen darin ändern möchtest, solltest du ein neues File mit der Endung .local erstellen, in dem du dann die Änderungen einträgst.

Wenn Änderungen an den Einstellungen für einen bestimmten Dienst gemacht werden sollen oder eine Konfiguration für einen neuen Dienst hinzugefügt werden sollen, erstellst du am besten ein neues.local File im Ordner jail.d.

In diesem Ordner existiert ziemlich sicher auch schon folgendes File, wenn du eine Debian/Ubuntu basierte Distro verwendest…

/etc/fail2ban/jail.d/defaults-debian.conf

Und wenn du dort reinschaust, siehst du, dass Fail2ban für SSHD bereits standardmässig aktiviert wurde.

Ich würde also die Änderungen in der jail.conf wieder rückgängig machen und dann Fail2ban nochmals neustarten.

Ich nutze den Ubuntu LTS 20.04 Server mit apache.

Hab leider auf Grund von den Fehlern in den verschiedene fail2ban Dateien Anpassungen durchgeführt und auch z.B. jail.local erstellt.

In der default OS Datei habe ich nichts angepasst.

Wie kann ich das fail2ban neuinstallieren? Damit ich wieder die standard / unangepassten Dateien habe?

apt purge fail2ban
apt autoremove

Dann rebooten und Fail2ban wieder installieren

apt install fail2ban

Um Fail2ban für die Nextcloud zu aktivieren kannst du folgendes machen:

Die Config Datei für den Filter anlegen…

nano /etc/fail2ban/filter.d/nextcloud.conf

…und folgendes einfügen:

[Definition]
_groupsre = (?:(?:,?\s*"\w+":(?:"[^"]+"|\w+))*)
failregex = ^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Login failed:
            ^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Trusted domain error.
datepattern = ,?\s*"time"\s*:\s*"%%Y-%%m-%%d[T ]%%H:%%M:%%S(%%z)?"

Die Config Datei für das Jail anlegen…

nano /etc/fail2ban/jail.d/nextcloud.local

…und folgendes einfügen: (Pfad zur Logdatei anpassen, nicht vergessen!)

[nextcloud]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nextcloud
maxretry = 5
bantime = 18000
findtime = 36000
logpath = /var/nc_data/nextcloud.log

Fail2ban neustarten:

systemctl restart fail2ban

Ich hab jetzt alles bereinigt, sogar den fail2ban Ordner gelöscht.
Alles neue eingerichtet wie beschrieben, im Prinzip ja nur die beiden nextcloud Dateien, aber immer noch die gleiche Fehlermeldung:

● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Wed 2021-05-26 15:05:43 CEST; 1min 1s ago
Docs: man:fail2ban(1)
Process: 945 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=0/SUCCESS)
Process: 949 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
Main PID: 949 (code=exited, status=255/EXCEPTION)

May 26 15:05:43 nextcloud01 systemd[1]: Starting Fail2Ban Service…
May 26 15:05:43 nextcloud01 systemd[1]: Started Fail2Ban Service.
May 26 15:05:43 nextcloud01 fail2ban-server[949]: 2021-05-26 15:05:43,537 fail2ban [949]: ER>
May 26 15:05:43 nextcloud01 fail2ban-server[949]: 2021-05-26 15:05:43,539 fail2ban [949]: ER>
May 26 15:05:43 nextcloud01 systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/EXCE>
May 26 15:05:43 nextcloud01 systemd[1]: fail2ban.service: Failed with result ‘exit-code’.
lines 1-14/14 (END)

Gib mal folgendes ein…

fail2ban-client -x start

…und poste den Output hier.

sudo fail2ban-client -x start
2021-05-26 15:31:48,908 fail2ban [2132]: ERROR Failed during configuration: Have not found any log file for nextcloud jail