// EDIT / Lösung:
Log-Path war falsch und musste angepasst werden, da fail2ban von dort seine Informationen erhält. /var/www/nextcloud/data/nextcloud.log war falsch und musste neu gesetzt werden.
Danke an @bb77 für die Lösung!
Hallo zusammen,
ich bin aktuell ein wenig am Verzweifeln, da mir diverse Foreneinträge etc. nicht geholfen haben.
Ich habe die Nextcloud 20.0.7 auf einem Raspberry PI 4 über ubuntuserver laufen.
Mittlerweile läuft nach vielem rumbasteln auch endlich alles, sogar TALK - außer Fail2Ban.
Fail2Ban lief vor 2 Monaten mal erfolgreich, mittlerweile aber nicht mehr. Hätte es ganz gerne wieder funktionstüchtig, da vor 2 Monaten laut fail2ban mehrere bruteforce Versuche durchgeführt wurden.
Installiert ist es größtenteils nach der Anleitung von C. Rieger. Ich dachte, die Failregex ist evtl. nicht aktuell und habe mehrere aus verschiedenen Forenbeiträgen etc. ausprobiert, keins hat mir geholfen.
Anmerkung: in den 2 Monaten lief der Server an sich nicht, da ich ein Problem mit einer externen Festplatte / Stromversorgung hatte. Das kann aber nichts mit der Thematik zu tun haben, da auf der externen Festplatte keine fail2ban Daten lagen.
Fail2Ban mit “apt purge” runtergeschmissen und neu aufgesetzt habe ich nun auch mehrmals, ohne Erfolg.
Evtl. Hilfreiche Daten:
…/jail.d/nextcloud.local:
[nextcloud]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nextcloud
maxretry = 3
bantime = 86400
findtime = 43200
logpath = /var/www/nextcloud/data/nextcloud.log
…/filter.d/nextcloud.conf:
[Definition]
_groupsre = (?:(?:,?\s*“\w+”:(?:“[^”]+“|\w+)))
failregex = ^{%(_groupsre)s,?\s"remoteAddr”:“”%(_groupsre)s,?\s*“message”:“Login failed:
^{%(_groupsre)s,?\s*“remoteAddr”:”“%(_groupsre)s,?\s*“message”:“Trusted domain error.
datepattern = ,?\s*“time”\s*:\s*”%%Y-%%m-%%d[T ]%%H:%%M:%%S(%%z)?”
Wenn mehr Daten / Infos benötigt sind, einfach Fragen. Weiß nicht genau, was nun alles wichtig ist.
In der jail.conf wurde nur "Action = %(action_mwl)s eingetippt, nach Riegers Anleitung gab es einen Tippfehler mit "mwl und mw1. Außerdem wurde destemail / sender konfiguriert, um Infos zu erhalten > Das lief auch mal sehr gut vor 2 Monaten.
Eine Abfrage mit fail2ban-client status nextcloud ergibt allerdings ein erfolgreiches Ergebnis:
Status for the jail: nextcloud
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
|- File list: /var/www/nextcloud/data/nextcloud.log- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
In der nextcloud.log landet übrigens bisher irgendwie gar nichts.
Wenn ich versuche, über VPN den Server per Hand zu “brutforcen”, passiert allerdings rein gar nichts - und da komme ich einfach nicht weiter!
Freue mich über jede Hilfe!
