Neues von der Mumble-Entwicklung: Fail2Ban kompatibles Serverlog und Syslog

Mumble-Server und Fail2Ban

In der aktuellen, stabilen Version des Mumble-Servers sind die Meldungen bezüglich der Verweigerung einer Verbindung (Rejected connection) und die dazugehörige IP-Adresse des Clienten auf verschiedene Zeilen verteilt:

<W>2014-07-11 04:50:06.614 1 => <16:(-1)> New connection: 1.2.3.4:60787
<W>2014-07-11 04:50:06.699 1 => <16:(-1)> Client version 1.2.7 (Win: 1.2.7)
<W>2014-07-11 04:50:06.700 1 => <16:User(-1)> Rejected connection: Wrong certificate or password for existing user
<W>2014-07-11 04:50:06.701 1 => <16:User(-1)> Connection closed:  [-1]

Somit lassen sich Benutzer aufgrund solcher Verbindungsanfragen nicht automatisch mit z. B. Fail2Ban sperren, da dieses zeilenweise arbeitet.

Seit der Patch von Patrick Matthäi (der bereits seit längerem im Debian-Paket des Mumble-Servers verwendet wird) in den Code übernommen wurde stehen die notwendigen Daten in derselben Zeile:

 <W>2014-07-18 05:41:19.231 1 => <38:Natenom(-1)> Rejected connection from 1.2.3.4:48338: Wrong certificate or password for existing user

Nun kann man sich für Fail2Ban eine Regel erstellen, die einen solchen Benutzer nach x Verbindungsversuchen automatisch per iptables aussperrt.

Mumble-Server und Syslog

Der Mumble-Server (Murmur) loggt seine Geschehnisse normalerweise sowohl in die Datenbank als auch in eine festlegbare Logdatei. Seit einem Pull Request von main– kann Murmur seine Meldungen nun auch direkt an einen Syslog-Dienst schicken. Somit entfällt eine zusätzliche Logdatei. Dazu weist man der Variable logfile in der .ini-Konfigurationsdatei den Wert „syslog“ zu.

Multitail-Schema für Mumble-Server-Logs im Syslog?

Verwendete man bisher z. B. dieses Farbschema zur Darstellung des Mumble-Server-Logs in Multitail, so kann man in die Datei /etc/multitail.conf an der Stelle des Schemas für syslog noch die Zeilen anfügen, die es hier gibt. Dann hat man auch im Syslog eine farbliche Anzeige der Mumble-Server betreffenden Einträge.

Mumble-Server und Logcheck?

Für Logcheck gibt es auch ein paar Zeilen im Wiki, sodass normale Ereignisse eines Mumble-Servers einem nicht andauernd zugeschickt werden. Für die normale Serverlog des Mumble-Servers gibt es die Zeilen hier. Werde diese in den nächsten Tagen auch für den Fall hinfügen, dass der Mumble-Server syslog verwendet. Siehe hier für die entsprechende Datei für Logcheck.

Ausprobieren

Beide Neuerungen sind bereits im aktuellen Snapshot des Mumble-Servers enthalten, den man hier herunterladen kann.

Ähnliche Themen...