Mein Blog - Liebes Tagebuch...

PS: Wenn ihr das hier gut oder schlecht findet - Anregungen / Fragen habt - hinterlasst mir eine Nachricht!

VMware Produkt Versions Tracker08.08.2023 10:44 anzeigen
Fritz!Box SmartHome Monitoring mit PRTG, AHA-Interface02.03.2023 10:59 anzeigen
Bachmann BlueNet SNMP-OID Generator für PRTG / Monitoring15.12.2022 16:14 anzeigen
change fail2ban socket permissions for f2bwi for systemd29.06.2022 14:57 anzeigen
Fehler bei vSphere 7.x und vTPM / Virtualization Based Security enabled VMs10.11.2021 17:44 anzeigen
HP Color Laser Drucker MFP 179 – Anmeldung Weboberfläche11.06.2020 11:42 anzeigen
VMCS 6.5+ neuen ESXi-Host hinzufügern schlägt Fehl wegen Zertifikat21.11.2019 09:44 anzeigen
EMC Isilon IOps mit PRTG-Monitoring überwachen26.10.2016 14:30 anzeigen
Windows Sicherung Fehler 0X8078002A07.06.2016 10:58 anzeigen
VMware vSphere Update Manager Paket / Patch manuell entfernen08.12.2015 08:27 anzeigen
Fail2Ban für Teamspeak3 Server21.08.2015 10:46 ausblenden
Fail2Ban schützt (Linux-)Server vor Angriffen, indem es Logfiles auswertet und bei unerwünschten Vorgängen, wie z.B. zu vielen fehlgeschlagenen Logins, die Client-IP per Firewall für eine bestimmt Zeit sperrt. Man kann damit auch einen Teamspeak3 Server absichern, vorallem wenn man Admin-Zugriffe (Server-Query) von außen zulässt. Wer ab hier weiter liest, sollte bereits etwas Erfahrung mit Fail2Ban und eine lauffähige Version davon in Gebrauch haben.

Teamspeak3 vorbereiten
Hier ist nicht viel nötig. Man muss nur wissen, in welchem Verzeichnis sich die Logfiles des TS3 Servers befinden.
In meinem Beispiel ist das: /usr/local/bin/teamspeak/logs/

Fail2Ban vorbereiten
Die Datei /etc/fail2ban/filter.d/teamspeak.conf anlegen und bearbeiten:
[INCLUDES]
before = common.conf
[Definition]
failregex = ^(.*)query from [0-9]{1,} :[0-9]{1,5} attempted to login with account "(.*)" and failed!$
ignoreregex =

Dieser Filter findet später Einträge im Teamspeak3 Logfile, die in etwa so aussehen:
2015-08-20 12:12:45.825529 | INFO | Query | | query from 5 192.168.0.10:56971 attempted to login with account "serveradmin" and failed!

Die Datei /etc/fail2ban/jail.local (ggf. anlegen und) bearbeiten:
[teamspeak]
enabled = true
port = 2008,2010,9987,10011,30033,41144
filter = teamspeak
logpath = /usr/local/bin/teamspeak/logs/ts3server*.log # deswegen zuerst den Logfile-Pfad von Teamspeak suchen
maxretry = 3 # Anzahl der erlaubten Fehlversuche
bantime = 86400 # = 1 Tag
findtime = 7800 # siehe Anmerkungen weiter unten
action = iptables-multiport[name="teamspeak", port="2008,2010,9987,10011,30033,41144"]

Danach fail2ban neu starten und fertig.
Der Parameter findtime ist sehr hoch. Das hat den Grund, dass TS3 Einträge im Logfile immer in UTC Zeit schreibt. Das lässt sich auch nicht ändern. Da wir in Deutschland zwischen +1 und +2 Stunden Verschiebung zu UTC haben, müssen wir also 2x 3600 Sekunden (=1 Stunde) + die eigentlich gewünschte FindTime angeben. Also nicht wundern. Wer eine elegantere Lösung weiß, möge mir das bitte sagen.

ToDo / offene Punkte
Bisher werden nur Server-Query Logins überwacht. Da ich keinen TS3 mit Passwort betreibe, kann ich keine Fail2Ban-Regeln für normale User-Logins mit falschem Passwort erstellen. Es wäre schön, wenn mir jemand mal entsprechende Logfiles als Beispiel zusenden könnte.
PhpMyAdmin root Login auf bestimmte Clients beschränken17.06.2015 08:13 anzeigen
Debian 8 (Kernel >=3.9) VMware Konsole bleibt schwarz05.05.2015 11:20 anzeigen
Thunderbird Lightning Google Kalender (CalDAV)04.12.2014 07:41 anzeigen
Pure-FTPd TLS "PEM_read_bio:no start line"20.11.2014 08:44 anzeigen
PHP5 + MySQL load data local infile Error 114817.04.2014 13:27 anzeigen
Pure-FTPd und MySQL Last User Access Logging13.12.2013 11:55 anzeigen
MySQL / PhpMyAdmin Fehler: Doppelte InnoDB Foreign Key Constraints25.10.2013 11:25 anzeigen
vSphere Replication Fehler: MISSING PLACEHOLDER14.10.2013 08:34 anzeigen
MySQL ERROR 130 (HY000)13.06.2013 11:46 anzeigen
MS-SQL Server 2008 - Aktivitätsmonitor Fehler06.03.2013 12:20 anzeigen
Thunderbird IMAP Posteingang (Inbox) & Papierkorb (Trash) doppelt vorhanden05.11.2012 13:18 anzeigen
Redirect Verzeichnis zu URL Parameter mit Apache2 mod_rewrite22.03.2012 08:22 anzeigen
DKIM und SPF mit united-domains.de12.01.2012 08:55 anzeigen
VMware vCenter 5 - Verbindung zu Diensten bricht manchmal ab & PlugIns werden deaktiviert29.09.2011 09:49 anzeigen
Linux V2V Konvertierung XEN -> VMware13.07.2011 12:30 anzeigen
VMware Workstation 7.x (und andere) Bandbreite beschränken10.03.2011 19:22 anzeigen
DSL Zugangsdaten / Kennwort vergessen - Herausfinden mit Fritz!Box20.02.2011 23:44 anzeigen
PHP 5.3.5 - Problem mit MySQL 5 und OLD_PASSWORD Kennwörtern04.02.2011 09:42 anzeigen
HP Proliant DL160 G6, B110i RAID und SLES11-SP1 X84_64 Installation14.12.2010 14:36 anzeigen
Informatiker-Wetter10.11.2010 11:59 anzeigen
Informatikerwitz10.11.2010 11:56 anzeigen
Das ist doch mal 'ne vernünftige Erklärung, die man auch begreift...20.09.2010 11:18 anzeigen
Windows: Zuletzt verwendet Einträge löschen (Recent)16.08.2010 09:13 anzeigen
Canon ScanLIDE 35 mit Windows 7 (64Bit)13.01.2010 07:00 anzeigen
MSI Eclipse Plus (MS-7566) DriveBooster für Windows 7 (64Bit)05.01.2010 10:05 anzeigen
MSI Eclipse Plus (MS-7566) BIOS05.01.2010 10:00 anzeigen
Archiv folgt... (todo!)