CentOS 7 - fail2ban / ssh - Wat doe ik fout?

Relevante software en hardware die ik gebruik
VPS met CentOS 7
SSH
fail2ban

Wat ik al gevonden of geprobeerd heb
How-to's gelezen op CentOS fora's en andere step-by-step Youtube videos.

Mijn vraag:
Ik heb een nieuw geïnstalleerd VPS met CentOS 7 (Zonder Plesk).
Om direct deze server goed te beveiligen, heb ik het standaard SSH poort 22 aangepast naar een andere poort.

vi /etc/ssh/sshd_config
port 1234
systemctl restart sshd.service

Vervolgens heb ik ook fail2ban geinstalleerd:
yum install epel-release
yum install fail2ban
systemctl enable fail2ban

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vi /etc/fail2ban/jail.local

In dit bestand heb ik een paar dingen aangepast:
Bantime 600 naar 3600

En aangepast / toegevoegd:

[sshd]
enabled = true
port = 1234
logpath = /var/log/secure

Het bestand uiteraard opgeslagen met :wq.
Vervolgens reboot ik de server, maar ik kom niet meer ingelogd op ssh via poort 1234.

Wat doe ik fout?
Ik heb ook op een virtuele machine op mn laptop centos 7 geïnstalleerd en hetzelfde uitgevoerd, en dan werkt alles wel na een reboot. Kan er een verschil zitten tussen een VPS install en een local install op mn laptop?

MAX3400 schreef op maandag 27 augustus 2018 @ 20:58:
[sshd]
maxretry = 5
port = ssh

Tenminste, ik zie nu niet hoeveel retries/pogingen je toestaat dus kan me voorstellen dat nu al het SSH-verkeer afgevangen wordt.

Andersom, heb je al gekeken of er in je iptables een verschil bestaat tussen je lokale en VPS inrichting?

Met maxretry heb ik niks aan aangepast, en zou standaard 5 moeten zijn.
# "bantime" is the number of seconds that a host is banned.

bantime = 3600

# A host is banned if it has generated "maxretry" during the last "findtime"

# seconds.

findtime = 600

# "maxretry" is the number of failures before a host get banned.

maxretry = 5


Iptables van virtueel en vps zijn beide leeg.

Herinstalleer even de VPS, heb nu teveel dingen aangepast.
Be right back, alvast bedankt voor de respons.

belrpr schreef op maandag 27 augustus 2018 @ 21:13:
Is volgens mij ook de firewall.
Kon je na aanpassen van de poort en voor de activatie van fail2ban wel connecteren.

Kan ik je helaas niet goed op antwoorden, had ze allebei aangepast en toen een reboot.
Zal nu, als de VPS weer up is, het stap voor stap doen en telkens rebooten.

Dus eerst poort aanpassen, reboot, dan fail2ban installeren, reboot etc.

VPS is up en heb direct de poort aangepast. Reboot en kan nog steeds via SSH inloggen.

Vervolgens Selinux gechecked:
sestatus
SELinux status: disabled

Ga nu fail2ban installeren met ssh port nog op 22.

[ Voor 14% gewijzigd door WeHoDo op 27-08-2018 21:23 ]

canonball schreef op maandag 27 augustus 2018 @ 21:25:
Maar aangezien je zo bezig bent met security, ga je als alles werkt toch wel selinux aanzetten en werkend maken?

Uiteraard, alleen omdat ik al niet verder kwam met fail2ban, nog niet naar selinux gekeken.
Op mn debian vps-en heb ik ook hetzelfde aangepast en werkte het wel. Lijkt erop dat er iets met CentOS zelf is.

Ben nu bezig met rebooten...

Snap er even niets meer van.
VPS opnieuw geinstalleerd.
SSH poort aangepast.
Reboot
Kan inloggen
Vervolgen SSH pport toegevoegd op IPtables.
Reboot.
Kan inloggen.
Installeren van fail2ban.
En aangepast:

[sshd]
enabled = true
port = ssh
logpath = /var/log/secure
backend = %(sshd_backend)s

Moet ik hier port = ssh aanpassen naar de nieuwe poort: 1234?

Heb nu fail2ban werkend, echter wel met default port 22.
Zodra ik de ssh poort aanpas, gaat het mis en kom ik er niet meer in.
Via recovery mode kan ik de regels weer aanpassen.

Zal de hoster even benaderen of wellicht de SSH port niet aangepast kan worden.
Lijkt me vreemd, maar toch.

Bedankt zover, ik ga morgen hiermee verder

agile_tester schreef op dinsdag 28 augustus 2018 @ 09:03:
Toen ik mijn CentOS VPS aan het inrichten was, heb ik alle wijzigingen eerst in een virtual box image getest.
Dus snapshot maken > wijziging testen in vb > wijziging doorvoeren in VPS.
Dat heeft mij uiteindelijk veel tijd bespaard.
Bovendien gebruik ik de vb image nu nog steeds om CentOS updates te testen, vóórdat ik mijn VPS update.

Dit gaat helaas niet op, omdat ik 2 dezelfde os-en heb. 1 op VPS en 1 op virtueel.
De VPS OS reageert anders dan de virtuele.

Op virtueel pas ik gewoon alles aan en na reboot werkt het ook.
Dezelfde rules en config gebruik ik ook op de VPS en na reboot kom ik er niet meer in.

Anyway, ik heb nu fail2ban werkend, maar wel op de standaard SSH poort.
Als ik aan de reactie hierboven lees, maakt het niet uit voor de veiligheid om deze SSH poort aan te passen, ipv poortscanners?

Het lijkt erop dat de rules die ik aanmaak voor iptables, opgeslagen heb, na een reboot weg zijn.
Als ik iptables -S doe, zie ik geen enkele rules meer, behalve die fail2ban standaard heeft aangemaakt.
Alle andere poorten, zoals 80 en 443 zijn foetsie.

Lijkt nu opgelost.

Deze stonden uit.
/etc/sysconfig/iptables-config
IPTABLES_SAVE_ON_RESTART="yes"
IPTABLES_SAVE_ON_STOP="yes"

Vreemd, want op mn virtuele omgeving staan deze standaard aan.

Nope, weer niet.

Ga het anders oplossen, dan maar geen fail2ban.

[ Voor 16% gewijzigd door WeHoDo op 28-08-2018 11:15 ]

Hero of Time schreef op dinsdag 28 augustus 2018 @ 11:30:
Dus omdat je obscurity wilt toevoegen en persé SSH op een andere poort wilt draaien, gooi je een pakket er maar uit dat wel iets aan echte security doet? Lijkt mij nou niet echt een verstandige keus.

nee, liever niet. Kan nu even niets anders, omdat ik de rest moet testen / inrichten.

Dit zal niet de uiteindelijke server worden. Maar om goed te beginnen met testen, wilde ik de veiligheid ook al goed hebben.

Uiteindelijk moet fail2ban wel gaan draaien, ook op een aangepaste poort, omdat deze standaard poort elders niet werkt ivm blokkade en vpn niet gemaakt kan worden.

PS. mijn linux kennis is niet 100%, maar overige configuraties zijn wel gelukt.

[ Voor 5% gewijzigd door WeHoDo op 28-08-2018 11:41 ]

Hero of Time schreef op dinsdag 28 augustus 2018 @ 11:46:
Je neemt een VPS af om mee te testen, dit wordt niet de uiteindelijke server voor je doel. Waarom neem je dan niet lokaal een VM met Virtualbox, stelt er een Host-Only adapter in als extra en test zo je hele configuratie? Kan je bij een foutieve configuratie iig nog via de console erbij.

Omdat het uiteindelijk wel op deze vps moet draaien.
Zoals eerder, heb al een VM met daarop een centos waar de tools opstaan.
Hierop werkt alles, alleen in de vps, waarmee we nu testen niet.
Als ik moet uitgaan van VM dat alles goed is en vervolgens op de VPS alles omzet, dan kom ik er te laat achter. Nu kom ik erachter dat er al in het begin proces al iets niet werkt.

Probleem is opgelost.
Vanuit de hoster wordt telkens bij een reboot de standaard firewall regels actief, waardoor je eigen config wordt overschreven. Evenals de DNS en wat andere instellingen. Nu deze zijn uitgeschakeld, ben ik weer up and running.