Fail2Ban continua proibindo a reinicialização

Navegue suas respostas
1

Estou enfrentando um problema confuso com o Fail2Ban.

Eu corro uma versão mais antiga que, após o reinício do Daemon Fail2Ban, desativa todos os endereços IP.

Agora tenho a versão 0.9.3 do Fail2Ban instalada no Centos 7. Quando reinicio o Fail2Ban, ele bane os endereços IP banidos anteriormente. Não quero que isso aconteça e, em vez disso, quero que todas as proibições sejam canceladas na reinicialização, que é a maneira como costumava funcionar.

Defini dbfile = None para impedir o banimento persistente e também definir dbpurgeage = 0 apenas para estar seguro.

Mas, ao reiniciar, qualquer IP proibido será banido novamente.

Aqui está um trecho de /var/log/fail2ban.log quando um usuário é banido via vsftpd:

2016-09-19 20:45:58,671 fail2ban.filter [23752]: INFO [vsftpd] Found xx.xx.xx.xx 2016-09-19 21:01:55,665 fail2ban.filter [23752]: INFO [vsftpd] Found xx.xx.xx.xx 2016-09-19 21:02:06,679 fail2ban.filter [23752]: INFO [vsftpd] Found xx.xx.xx.xx 2016-09-19 21:02:06,936 fail2ban.actions [23752]: NOTICE [vsftpd] Ban xx.xx.xx.xx

Em seguida, ao reiniciar o Fail2Ban, veja as últimas linhas do arquivo de log:

2016-09-19 21:02:42,719 fail2ban.jail [24213]: INFO Jail 'vsftpd' started 2016-09-19 21:02:42,761 fail2ban.filter [24213]: INFO [vsftpd] Found xx.xx.xx.xx 2016-09-19 21:02:42,761 fail2ban.filter [24213]: INFO [vsftpd] Found xx.xx.xx.xx 2016-09-19 21:02:42,921 fail2ban.actions [24213]: NOTICE [vsftpd] Ban xx.xx.xx.xx

Parece que está a analisar novamente os ficheiros de registo e a proibir novamente um utilizador anteriormente banido.

Como eu mencionei, não é assim que costumava funcionar em versões mais antigas do Fail2Ban - como posso reverter para a funcionalidade anterior?

    
por MrCarrot 19.09.2016 / 22:13

1 resposta

2

Desativar o uso de dbfile significa que fail2ban perde o rastro de sua posição de leitura em cada arquivo ao reiniciar e, portanto, lê todo o arquivo levando ao comportamento que você observou.

Adicionando tail após os nomes dos arquivos nas instruções logpath dirão fail2ban para começar a ler do final do arquivo, em vez de começar do início. Isso deve (eu acho) dar o comportamento que você quer (ou perto o suficiente). Veja docs para mais detalhes. Seção relevante é ...

Optional space separated option 'tail' can be added to the end of the path to cause the log file to be read from the end, else default 'head' option reads file from the beginning

No entanto, eu concordaria com a implicação do comentário de Michael Hampton - a maneira correta de lidar com isso é restabelecer o uso de dbfile e usar a funcionalidade unban.

    
por 19.09.2016 / 23:39

Tags

Como rsync as mudanças e recarregar o serviço remoto, mas apenas digite a senha SSH uma vez Como executar logstash-2.4.0