Gelöst: Fail2Ban unter Nextcloud 20.0.7 will nicht laufen

// EDIT / Lösung:

Log-Path war falsch und musste angepasst werden, da fail2ban von dort seine Informationen erhÀlt. /var/www/nextcloud/data/nextcloud.log war falsch und musste neu gesetzt werden.
Danke an @bb77 fĂŒr die Lösung!


Hallo zusammen,

ich bin aktuell ein wenig am Verzweifeln, da mir diverse ForeneintrÀge etc. nicht geholfen haben.
Ich habe die Nextcloud 20.0.7 auf einem Raspberry PI 4 ĂŒber ubuntuserver laufen.
Mittlerweile lĂ€uft nach vielem rumbasteln auch endlich alles, sogar TALK - außer Fail2Ban.

Fail2Ban lief vor 2 Monaten mal erfolgreich, mittlerweile aber nicht mehr. HĂ€tte es ganz gerne wieder funktionstĂŒchtig, da vor 2 Monaten laut fail2ban mehrere bruteforce Versuche durchgefĂŒhrt wurden.
Installiert ist es grĂ¶ĂŸtenteils nach der Anleitung von C. Rieger. Ich dachte, die Failregex ist evtl. nicht aktuell und habe mehrere aus verschiedenen ForenbeitrĂ€gen etc. ausprobiert, keins hat mir geholfen.
Anmerkung: in den 2 Monaten lief der Server an sich nicht, da ich ein Problem mit einer externen Festplatte / Stromversorgung hatte. Das kann aber nichts mit der Thematik zu tun haben, da auf der externen Festplatte keine fail2ban Daten lagen.

Fail2Ban mit “apt purge” runtergeschmissen und neu aufgesetzt habe ich nun auch mehrmals, ohne Erfolg.

Evtl. Hilfreiche Daten:

/jail.d/nextcloud.local:

[nextcloud]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nextcloud
maxretry = 3
bantime = 86400
findtime = 43200
logpath = /var/www/nextcloud/data/nextcloud.log


/filter.d/nextcloud.conf:
[Definition]
_groupsre = (?:(?:,?\s*"\w+":(?:"[^"]+"|\w+)))
failregex = ^{%(_groupsre)s,?\s
"remoteAddr":""%(_groupsre)s,?\s*“message”:“Login failed:
^{%(_groupsre)s,?\s*“remoteAddr”:”"%(_groupsre)s,?\s*“message”:“Trusted domain error.
datepattern = ,?\s*“time”\s*:\s*”%%Y-%%m-%%d[T ]%%H:%%M:%%S(%%z)?"

Wenn mehr Daten / Infos benötigt sind, einfach Fragen. Weiß nicht genau, was nun alles wichtig ist.
In der jail.conf wurde nur "Action = %(action_mwl)s eingetippt, nach Riegers Anleitung gab es einen Tippfehler mit "mwl und mw1. Außerdem wurde destemail / sender konfiguriert, um Infos zu erhalten > Das lief auch mal sehr gut vor 2 Monaten.

Eine Abfrage mit fail2ban-client status nextcloud ergibt allerdings ein erfolgreiches Ergebnis:

Status for the jail: nextcloud
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| - File list: /var/www/nextcloud/data/nextcloud.log - Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

In der nextcloud.log landet ĂŒbrigens bisher irgendwie gar nichts.

Wenn ich versuche, ĂŒber VPN den Server per Hand zu “brutforcen”, passiert allerdings rein gar nichts - und da komme ich einfach nicht weiter!

Freue mich ĂŒber jede Hilfe!

Wenn nichts im Log landet, kann es nicht funktionieren, weil von dort holt sich Fail2Ban die Info, dass ein gescheiterter Login-Versuch stattgefunden hat.

Bist du sicher, dass sich das Log bei dir auch tatsÀchlich unter /var/www/nextcloud/data/nextcloud.log befindet? Normalerweise befindet sich das nÀmlich im Datenverzeichnis und das hast du höchstwarscheinlich irgendwo ausserhalb deines Nextcloud-Ordners platziert.

1 Like

Bist mein Held des Tages.
Hab durch viel hin und her scheinbar mehrere nextcloud.log’s ĂŒber den Server verteilt erstellt

NatĂŒrlich mal wieder den Wald vor lauter BĂ€umen nicht gesehen, Pfad angepasst hat geholfen.
Was noch fehlte, waren die Datei Berechtigungen:

sudo chown www-data:www-data /your/path/to/nextcloud.log

Jetzt funktioniert alles wieder. Unglaublich, dass ich da mehrere Tage dran verzweifelt bin :wink:

Danke!

Gern geschehen. Schön, wenn ich helfen konnte :slight_smile:

1 Like