Nemůžu se přihlásit na server či e-mail

  1. Obsah
  2. Rychlý přehled pro pokročilé
  3. Co je dobré vědět předem
    1. Co budete potřebovat
  4. Jak zrušit ban
    1. Jde opravdu o ban?
    2. Mám webhosting, ne VPS
    3. Mám VPS: nejrychleji přes Zákaznický portál
    4. Odbanování konkrétní IP ve VPS Centru V3
  5. Jak přidat IP na whitelist
    1. Na webhostingu whitelist nenastavíte
    2. VPS Centrum V3: výjimka ve Fail2banu
    3. VPS Centrum V2: whitelist v automatické blokaci
    4. Přes SSH (funguje na V3 i V2)
  6. Jak najít zařízení způsobující bany
  7. Řešení problémů
    1. Ban se po odblokování hned vrátí
    2. Whitelist nezabírá ani po uložení
    3. E-mail chvíli chodí a chvíli ne
    4. Mám zapnuté dvoufázové ověření a nedostanu se dál

Najednou se nemůžete přihlásit k serveru přes SSH ani FTP a v poštovním klientovi přestanou chodit nové zprávy. Je to přitom zrádné: klient v počítači nebo mobilu může dál vypadat, že je přihlášený, jen se nic nového nestáhne a nejde nic odeslat. Webmail se nenačte vůbec. Heslo přitom máte správně. Ve většině případů za tím stojí fail2ban: bezpečnostní ochrana, která na našich serverech hlídá pokusy o přihlášení a po několika neúspěšných pokusech dočasně zablokuje přístup z adresy, ze které pokusy přicházejí.

Funguje to takto: když z jedné veřejné IP adresy přijde několikrát po sobě špatné heslo (ve výchozím nastavení stačí tři pokusy během dvou hodin), server tuto IP adresu na nějakou dobu odmítne – obvykle na hodinu, u některých služeb, například e-mailu, i déle. Háček je v tom, že blokace platí napříč všemi službami zároveň – tedy přes SSH (vzdálený přístup k serveru), FTP (přenos souborů), e-mail i VPS Centrum. Stačí se tak třikrát unáhlit v e-mailovém klientovi a vzápětí se nedostanete ani na server. A protože server vidí jen veřejnou IP adresu, ne konkrétní zařízení za ní, zablokuje rovnou celou vaši síť.

Nejčastější příčinou bývá právě e-mail. Poštovní klienti v telefonech, počítačích i tabletech se k serveru připojují automaticky a po změně hesla to zkoušejí pořád dokola se starým heslem – dokud nevyčerpají limit a nedostanou ban. V tomto návodu si ukážeme, jak blokaci rychle zrušit, jak důvěryhodnou IP adresu přidat na whitelist (aby jí ban nehrozil) a jak vypátrat zařízení, které bany způsobuje.

Co tento článek předpokládá. Na samotné odbanování stačí běžná orientace v Zákaznickém portálu – zvládnete ho pár kliknutími a nepotřebujete k němu žádné technické znalosti, ale pozor manuální odbanování je možné pouze pro klienty s VPS. Pokročilejší část o whitelistu se může dotknout příkazové řádky, ale provedeme vás krok za krokem. Pokud narazíte na pojem, který neznáte, najdete ho ve slovníčku pojmů.

Rychlý přehled pro pokročilé

Tato část je určená zkušeným uživatelům, kteří si chtějí jen rychle ověřit postup a nepotřebují číst celý článek. Pokud začínáte, doporučujeme rovnou pokračovat další sekcí.

  • Mám webhosting: vlastní odbanování ani whitelist k dispozici nejsou – ban nelze zrušit ručně ani přes podporu, musíte počkat, až vyprší, a mezitím najít zařízení, které ho způsobuje.
  • Mám VPS a jsem zamčený, potřebuju se rychle dostat dovnitř: Zákaznický portál > Servery > vybraný server > VPS Centrum, tlačítko „Odstranit bany a blokované IP“. Smaže všechny bany i ruční blokace firewallu naráz. Portál je samostatný systém, takže se do něj přihlásíte, i když vás server jinak odmítá. Funguje pro VPS Centrum V3 i V2.
  • Chci odbanovat konkrétní IP (VPS Centrum V3): Zabezpečení > Fail2ban, sekce Zabanované IP adresy. Adresu odeberete křížkem u jejího řádku (lze filtrovat podle služby přes Kategorie); všechny bany naráz smaže tlačítko v portálu výše.
  • Chci přidat výjimku, aby IP nebyla banována (VPS Centrum V3): Zabezpečení > Fail2ban, sekce Ignorované IP adresyPřidat výjimku. Zadáte IP nebo rozsah v zápisu CIDR (IPv4 i IPv6).
  • Prevence: najděte zařízení, které se připojuje se špatným heslem (obvykle e-mailový klient v lokální síti).

Co je dobré vědět předem

Odbanování zvládne kdokoli během chvilky. Whitelist a hledání příčiny vyžadují o něco víc – proto si dopředu připravte následující.

Co budete potřebovat

  • Přístup do Zákaznického portálu na portal.vas-hosting.cz – jediné, co k odbanování opravdu potřebujete.
  • Přístup do VPS Centra – pokud chcete bany spravovat adresně nebo nastavit whitelist přes rozhraní (ve VPS Centru V3).
  • SSH přístup k serveru jako uživatel root (hlavní účet správce serveru s plnými právy) – jen pokud budete whitelist nastavovat přes příkazovou řádku. Není to podmínka; ve VPS Centru V3 stačí rozhraní. (Pokud s SSH teprve začínáte, projděte si nejdřív kompletního průvodce SSH.)
  • Vaši veřejnou IP adresu – tu, ze které se připojujete; hodí se u whitelistu, kde ji zadáváte jako důvěryhodnou adresu. Nemusíte ji chystat dopředu – kdykoli ji zjistíte třeba na mojeip.cz nebo zadáním dotazu „jaká je moje IP adresa“ do prohlížeče.

Na samotné odbanování si vyhraďte zhruba 2 minuty, na nastavení whitelistu 5 až 10 minut.

Pozor: Ban se vztahuje na celou vaši veřejnou IP adresu, ne na jedno konkrétní zařízení. Pokud je ve vaší síti více lidí nebo zařízení, blokace se týká všech. A dokud běží zařízení se špatným heslem, ban se po odblokování může rychle vrátit.

Jak zjistíte, jakou verzi VPS Centra máte. Verze se zobrazuje v záhlaví rozhraní u loga. Pokud číslo začíná „3.“ (například 3.x.x), používáte VPS Centrum V3. Pokud „2.“ (například 2.x), je to VPS Centrum V2. V tomto článku je rozdíl podstatný: V3 má pro správu banů a whitelistu vlastní obrazovku, zatímco u V2 řešíte odbanování přes Zákaznický portál a whitelist přes SSH.

Jak zrušit ban

Pokud jste se zablokovali omylem, na VPS nemusíte čekat, až blokace sama vyprší – bany jdou zrušit ručně. Na webhostingu to bohužel nejde a musíte počkat, až ban vyprší. Nejdřív si ale v obou případech ověřte, že za problémem opravdu stojí ban, a teprve potom ho řešte.

Jde opravdu o ban?

Zkuste otevřít webmail na adrese https://mail.vas-hosting.cz/ nebo VPS Centrum. Pokud se stránka nenačte, přepněte z wi-fi na mobilní data – ta používají jinou veřejnou IP adresu. Když se přes mobilní data stránka v pořádku otevře, je vaše původní IP adresa téměř jistě zabanovaná.

Server totiž odmítne spojení ze zablokované adresy u všech přístupů na serveru zároveň – u SSH se objeví Connection refused nebo Connection timed out, pošta se nestáhne a nenačte se webmail ani VPS Centrum. Zákaznický portál je naproti tomu samostatný systém, který blokace serveru nezasáhne, takže se do něj přihlásíte vždy, i když vás server jinak odmítá.

Mám webhosting, ne VPS

Na webhostingu nemáte vlastní server ani přístup k jeho nastavení, takže ban nezrušíte sami – a neudělá to za vás ani podpora. Jediná možnost je počkat, až blokace sama vyprší (obvykle hodinu, u e-mailu může trvat i celý den).

Aby se ban pořád nevracel, mezitím najděte a opravte zařízení, které ho způsobuje – nejčastěji e-mailového klienta se starým heslem. Jak na to, popisuje sekce Jak najít zařízení způsobující bany.

Mám VPS: nejrychleji přes Zákaznický portál

Bany odstraníte jediným tlačítkem přímo v Zákaznickém portálu, který se otevře i při blokaci serveru. Tlačítko smaže všechny blokace naráz.

Tlačítko Odstranit bany a blokované IP v sekci VPS Centrum Zákaznického portálu
  1. Přihlaste se do Zákaznického portálu na adrese portal.vas-hosting.cz.
  2. V levém menu otevřete Servery a vyberte server, na kterém řešíte blokaci.
  3. V nabídce serveru klikněte na VPS Centrum.
  4. Vpravo klikněte na tlačítko „Odstranit bany a blokované IP“.

Tlačítko smaže všechny aktuální bany fail2banu i ruční blokace na firewallu (IPv4 i IPv6) a odblokuje i adresy, které se zablokovaly opakovaně chybným kódem dvoufázového ověření. Hned se objeví zelené potvrzení „IP bany jsou smazané“ a za chvíli se znovu přihlásíte – to je váš indikátor úspěchu. Mějte na paměti, že tlačítko vyčistí bany pro celý server, ne jen pro vaši adresu.

Zelené potvrzení IP bany jsou smazané

Odbanování konkrétní IP ve VPS Centru V3

Pokud se do VPS Centra dostanete (například jste blokovaní jen z jedné sítě, ale z jiné se přihlásíte, nebo jste právě použili tlačítko v portálu výše), můžete bany spravovat adresně. Ve VPS Centru V3 otevřete v levém menu Zabezpečení > Fail2ban. V sekci Zabanované IP adresy uvidíte všechny aktuální blokace; pomocí filtru Kategorie je můžete omezit podle služby – SSH, e-mail, FTP a další.

Obrazovka Fail2ban ve VPS Centru V3 se zabanovanými a ignorovanými IP adresami

Jednotlivou zablokovanou adresu odeberete křížkem u jejího řádku. Chcete-li smazat všechny bany naráz, použijte tlačítko „Odstranit bany a blokované IP“ v Zákaznickém portálu z předchozího kroku (funguje pro V3 i V2).

Jak přidat IP na whitelist

Whitelist je seznam důvěryhodných IP adres, které fail2ban nikdy nezablokuje za opakovaně neúspěšné přihlášení (ve VPS Centru V3 se tato část sekce jmenuje Ignorované IP adresy a najde ji v kategorii Fail2ban). Hodí se, pokud se připojujete ze stálé adresy (například z firemní sítě s pevnou IP) a chcete mít jistotu, že vás ochrana po pár překlepech v heslu nevyhodí ven.

Na webhostingu whitelist nenastavíte

Whitelist fail2banu na webhostingu nenastavíte – konfigurace serveru je sdílená a klienti ji nespravují. Pokud se vám bany opakují, nejúčinnější je najít a opravit zařízení, které je způsobuje (viz Jak najít zařízení způsobující bany).

Pozor na terminologii: Ve VPS Centru V3 jsou dvě podobně vypadající místa. Pro odblokování za špatné heslo potřebujete Zabezpečení > Fail2ban a v něm seznam Ignorované IP adresy. Položka nazvaná přímo Whitelist (v Zabezpečení > WAF Firewall) slouží k něčemu jinému – chrání před přetížením a útoky na web a popisuje ji článek Dostal jsem BAN a nemůžu se přihlásit na server. Pokud se nemůžete přihlásit kvůli špatnému heslu, jste u Fail2banu správně.

VPS Centrum V3: výjimka ve Fail2banu

Ve VPS Centru V3 přidáte důvěryhodnou adresu na stejném místě jako odbanování – v levém menu Zabezpečení > Fail2ban. V sekci Ignorované IP adresy klikněte na Přidat výjimku a zadejte jednu IP adresu nebo celý rozsah najednou v zápisu CIDR (zkrácený způsob zápisu rozsahu IP adres, například 203.0.113.0/24), a to pro IPv4 i IPv6. Adresa se přidá k těm, které server ignoruje – standardně tam najdete 127.0.0.1/8 a ::1/128, což je localhost, ten nechte být. Po uložení se nastavení fail2ban samo znovu načte; pokud by se to nepovedlo, změna se vrátí zpět, takže si konfiguraci nerozbijete.

VPS Centrum V2: whitelist v automatické blokaci

Ve VPS Centru V2 je whitelist společný pro ochranu před přetížením i pro fail2ban – adresa, kterou sem přidáte, bude vyňatá z obou blokací (na rozdíl od V3, kde jsou oddělené). V horním menu otevřete Správa serveru > Bezpečnost.

Záložka Bezpečnost v sekci Správa serveru ve VPS Centru V2

Na stránce Zabezpečení serveru sjeďte dolů k sekci Automatická blokace přetěžujících IP adres. Do pole Whitelistované adresy napište na každý řádek jednu IP adresu nebo rozsah v zápisu CIDR (například 203.0.113.10 nebo 203.0.113.0/24) a uložte tlačítkem Uložit.

Pole Whitelistované adresy ve VPS Centru V2 pro whitelist WAF i fail2ban

Přes SSH (funguje na V3 i V2)

Whitelist můžete nastavit i ručně přes příkazovou řádku – funguje na obou verzích VPS Centra a hodí se, když pracujete přímo na serveru nebo dáváte přednost terminálu. Ve VPS Centru V3 i V2 je jinak pohodlnější whitelist v rozhraní (popsaný výše). Budete k ní potřebovat SSH přístup k serveru jako root.

  1. Připojte se k serveru přes SSH. (Pokud s SSH začínáte, pomůže vám kompletní průvodce SSH.)
  2. Otevřete konfigurační soubor v textovém editoru příkazem nano /etc/fail2ban/jail.local. (Místo editoru nano můžete použít i vi.)
  3. Najděte sekci [DEFAULT]. Pokud v ní je řádek ignoreip, doplňte za stávající hodnoty svoji veřejnou IP adresu (více adres oddělte mezerou). Pokud řádek chybí, přidejte ho celý, například ignoreip = 127.0.0.1/8 ::1/128 203.0.113.10.
  4. Soubor uložte a zavřete – v editoru nano klávesami Ctrl+O, Enter a Ctrl+X.
  5. Restartujte službu, aby se změna projevila, příkazem systemctl restart fail2ban.

Po restartu už vaši adresu fail2ban přestane blokovat. Ověřit si to můžete příkazem fail2ban-client get sshd ignoreip – vaše adresa se objeví v seznamu ignorovaných.

Jak najít zařízení způsobující bany

Pokud se ban vrací pořád dokola, lepší než whitelist je odstranit příčinu. Tou bývá nějaké zařízení ve vaší lokální síti, které se k serveru připojuje se špatným heslem – nejčastěji e-mailový klient. Server vidí jen vaši veřejnou IP adresu, ne konkrétní zařízení za ní, takže vás čeká kus detektivní práce.

Postupujte takto: odpojte ze sítě úplně všechna zařízení, která se k serveru připojují nebo z něj stahují poštu – ne jen některá. Pak je připojujte zpět jedno po druhém s mírným časovým odstupem. Jakmile se ban vrátí, máte viníka. Jak poštovního klienta správně nastavit, popisuje článek Jak nastavit e-maily na virtuálním serveru.

Myslete na to, že „zařízením“ může být cokoli, co má přístup k e-mailu nebo se přihlašuje k serveru:

  • telefony a tablety, i ty, na které jste možná zapomněli,
  • poštovní klienti v počítačích,
  • účetní software, který rozesílá e-maily (například Pohoda),
  • alarmy, kamery a další chytrá zařízení s e-mailovými notifikacemi.

Tip: Při hledání pomůže mobil s mobilními daty a zapnutým sdílením připojení (hotspot). Získáte tím druhou síť s jinou veřejnou IP adresou, přes kterou server ovládáte a postupně testujete ostatní zařízení, i když je vaše hlavní adresa zablokovaná.

Řešení problémů

Ban se po odblokování hned vrátí

Symptom: Bany odstraníte, ale za pár minut se nemůžete přihlásit znovu (u SSH se typicky objeví Connection refused nebo Connection timed out). Příčina: Některé zařízení ve vaší síti se dál připojuje se špatným heslem a okamžitě si vyslouží nový ban. Řešení: Najděte a opravte zařízení podle sekce Jak najít zařízení způsobující bany. Než ho dohledáte, můžete si svoji adresu dočasně přidat na whitelist.

Whitelist nezabírá ani po uložení

Symptom: IP adresu jste přidali na whitelist, ale blokace se objevuje dál. Příčina: Buď se připojujete z jiné adresy, než jakou jste whitelistovali (řada poskytovatelů přiděluje dynamickou IP, která se čas od času mění), nebo se u ruční úpravy přes SSH nerestartovala služba. Řešení: Ověřte si aktuální veřejnou IP adresu např. na mojeip.cz nebo zadáním dotazu „jaká je moje IP adresa“ do prohlížeče. a porovnejte ji s tím, co máte v poli ignoreip. U ruční úpravy přes SSH restartujte službu příkazem systemctl restart fail2ban. Ve VPS Centru V3 se po uložení služba načte sama.

E-mail chvíli chodí a chvíli ne

Symptom: Pošta se chvíli stahuje, pak přestane a po čase zase naskočí. Příčina: Poštovní klient se opakovaně připojuje se starým nebo špatným heslem. Po několika pokusech dostane ban (u e-mailu může trvat i celý den), po jeho vypršení se odblokuje, klient to zkusí znovu a koloběh se opakuje. Řešení: Opravte přihlašovací údaje v poštovním klientovi. Podrobný postup najdete v sekci Jak najít zařízení způsobující bany.

Mám zapnuté dvoufázové ověření a nedostanu se dál

Symptom: Jméno i heslo zadáte správně, ale po opakovaně chybném ověřovacím kódu se do VPS Centra nepřihlásíte. Příčina: Opakovaně špatný kód dvoufázového ověření spustí blokaci IP adresy. Je to jiný mechanismus než fail2ban, ale projeví se podobně – nedostanete se dál. Řešení: Blokaci smaže totéž tlačítko „Odstranit bany a blokované IP“ v Zákaznickém portálu. Samotné nastavení a obnovu dvoufázového ověření (třeba když jste přišli o telefon) popisuje článek Co je dvoufaktorové ověření (2FA); obnovu bez přístupu k aplikaci vyřešíte přes podporu.

Pokud problém přetrvává, kontaktujte naši podporu. Ozve se vám a s blokací i její příčinou vám pomůže.

Nejlepší ban je ten, který vůbec nenastane. Pokud se k serveru připojujete přes SSH, zvažte přihlašování pomocí SSH klíče místo hesla. U klíče se nepřeklepnete, takže fail2ban nemá důvod vás blokovat, a navíc je to výrazně bezpečnější způsob přihlašování.

Pomohl vám tento článek?

Ano Ne

Podobné články

Nápověda

  1. Obsah
  2. Rychlý přehled pro pokročilé
  3. Co je dobré vědět předem
    1. Co budete potřebovat
  4. Jak zrušit ban
    1. Jde opravdu o ban?
    2. Mám webhosting, ne VPS
    3. Mám VPS: nejrychleji přes Zákaznický portál
    4. Odbanování konkrétní IP ve VPS Centru V3
  5. Jak přidat IP na whitelist
    1. Na webhostingu whitelist nenastavíte
    2. VPS Centrum V3: výjimka ve Fail2banu
    3. VPS Centrum V2: whitelist v automatické blokaci
    4. Přes SSH (funguje na V3 i V2)
  6. Jak najít zařízení způsobující bany
  7. Řešení problémů
    1. Ban se po odblokování hned vrátí
    2. Whitelist nezabírá ani po uložení
    3. E-mail chvíli chodí a chvíli ne
    4. Mám zapnuté dvoufázové ověření a nedostanu se dál