// EDIT / Lösung:

Log-Path war falsch und musste angepasst werden, da fail2ban von dort seine Informationen erhält. /var/www/nextcloud/data/nextcloud.log war falsch und musste neu gesetzt werden.
Danke an @bb77 für die Lösung!

Hallo zusammen,

ich bin aktuell ein wenig am Verzweifeln, da mir diverse Foreneinträge etc. nicht geholfen haben.
Ich habe die Nextcloud 20.0.7 auf einem Raspberry PI 4 über ubuntuserver laufen.
Mittlerweile läuft nach vielem rumbasteln auch endlich alles, sogar TALK - außer Fail2Ban.

Fail2Ban lief vor 2 Monaten mal erfolgreich, mittlerweile aber nicht mehr. Hätte es ganz gerne wieder funktionstüchtig, da vor 2 Monaten laut fail2ban mehrere bruteforce Versuche durchgeführt wurden.
Installiert ist es größtenteils nach der Anleitung von C. Rieger. Ich dachte, die Failregex ist evtl. nicht aktuell und habe mehrere aus verschiedenen Forenbeiträgen etc. ausprobiert, keins hat mir geholfen.
Anmerkung: in den 2 Monaten lief der Server an sich nicht, da ich ein Problem mit einer externen Festplatte / Stromversorgung hatte. Das kann aber nichts mit der Thematik zu tun haben, da auf der externen Festplatte keine fail2ban Daten lagen.

Fail2Ban mit “apt purge” runtergeschmissen und neu aufgesetzt habe ich nun auch mehrmals, ohne Erfolg.

Evtl. Hilfreiche Daten:
…/jail.d/nextcloud.local:

[nextcloud]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nextcloud
maxretry = 3
bantime = 86400
findtime = 43200
logpath = /var/www/nextcloud/data/nextcloud.log

…/filter.d/nextcloud.conf:
[Definition]
_groupsre = (?:(?:,?\s*"\w+":(?:"[^"]+"|\w+)))
failregex = ^{%(_groupsre)s,?\s"remoteAddr":""%(_groupsre)s,?\s*“message”:“Login failed:
^{%(_groupsre)s,?\s*“remoteAddr”:”"%(_groupsre)s,?\s*“message”:“Trusted domain error.
datepattern = ,?\s*“time”\s*:\s*”%%Y-%%m-%%d[T ]%%H:%%M:%%S(%%z)?"

Wenn mehr Daten / Infos benötigt sind, einfach Fragen. Weiß nicht genau, was nun alles wichtig ist.
In der jail.conf wurde nur "Action = %(action_mwl)s eingetippt, nach Riegers Anleitung gab es einen Tippfehler mit "mwl und mw1. Außerdem wurde destemail / sender konfiguriert, um Infos zu erhalten > Das lief auch mal sehr gut vor 2 Monaten.

Eine Abfrage mit fail2ban-client status nextcloud ergibt allerdings ein erfolgreiches Ergebnis:

Status for the jail: nextcloud
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| - File list: /var/www/nextcloud/data/nextcloud.log - Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

In der nextcloud.log landet übrigens bisher irgendwie gar nichts.

Wenn ich versuche, über VPN den Server per Hand zu “brutforcen”, passiert allerdings rein gar nichts - und da komme ich einfach nicht weiter!

Freue mich über jede Hilfe!

Wenn nichts im Log landet, kann es nicht funktionieren, weil von dort holt sich Fail2Ban die Info, dass ein gescheiterter Login-Versuch stattgefunden hat.

Bist du sicher, dass sich das Log bei dir auch tatsächlich unter /var/www/nextcloud/data/nextcloud.log befindet? Normalerweise befindet sich das nämlich im Datenverzeichnis und das hast du höchstwarscheinlich irgendwo ausserhalb deines Nextcloud-Ordners platziert.

Bist mein Held des Tages.
Hab durch viel hin und her scheinbar mehrere nextcloud.log’s über den Server verteilt erstellt…
Natürlich mal wieder den Wald vor lauter Bäumen nicht gesehen, Pfad angepasst hat geholfen.
Was noch fehlte, waren die Datei Berechtigungen:

sudo chown www-data:www-data /your/path/to/nextcloud.log

Jetzt funktioniert alles wieder. Unglaublich, dass ich da mehrere Tage dran verzweifelt bin

Danke!

Gern geschehen. Schön, wenn ich helfen konnte