Як налаштувати fail2ban за допомогою системного журналу?

10

Я встановив fail2banна контейнер Debian Jessie LXC, зараз він не працює через:

Starting authentication failure monitor: fail2ban
ERROR  No file(s) found for glob /var/log/auth.log
ERROR  Failed during configuration: Have not found any log file for ssh jail

У системі немає syslogабо, rsyslogотже /var/log/auth.log, не генерується. Чи є спосіб, як сказати fail2banвикористовувати вихід journalctl _COMM=sshd?

fail2ban systemd-journald

— Томбарт
джерело

11

Для системних систем:

Ви повинні вказати сервіс, /etc/fail2ban/jail.confщоб використати systemdнаступне:

backend = systemd

Потім перезавантажте fail2ban:

systemctl restart fail2ban

Редагувати:

Я важкий хлопець CentOS / RHEL / Fedora, тому вам, можливо, доведеться трохи адаптувати те, що я говорю. Що стосується цієї відповіді, можливо, вам доведеться оновити пакунок fail2ban до версії, яка підтримує systemd як бекенд, або вам доведеться встановити rsyslogта додати наступне до свого /etc/rsyslog.conf:

authpriv.*      /var/log/auth.log

Це дозволить переконатися, що журнали auth sshd ведуть журнал, до /var/log/auth.logякого буде прочитаний pyinotifyсервер за замовчуванням у fail2ban:

systemdЗдається, варіант не підтримується fail2ban 0.8.13:fail2banERROR NOK: ("Unknown backend systemd. Must be among ['pyinotify', 'gamin', 'polling'] or 'auto'",)

— Tombart

@Tombart Яку версію Debian ви використовуєте? Схоже, вам потрібен оновлений пакет fail2ban, який підтримує системний бекенд АБО ви можете встановити rsyslog та додати правильну конфігурацію до свого rsyslog.conf

Це остання версія Debian 8 Jessie, яка постачається з systemdпідтримкою.

— Томбарт

@MatthewSanabria, чому саме have to install rsyslogв центосах?

— kittygirl

2

Вам знадобиться fail2ban версії 0.9.0, яка може підтримувати systemd, тоді як Debian Jessie має 0,8.3 у сховищі.

Спробуйте завантажити та встановити з джерел або шукайте альтернативні репости.

З повагою

— Тім Коннор
джерело

1

У мене така ж проблема. Замість того, щоб розібратися в цьому, я закінчив перевстановлення syslogd для створення лог-файлів.

apt-get install inetutils-syslogd

Після установки файлу журналу для створення файлу журналу може знадобитися кілька хвилин - Він буде створений, коли додано запис журналу.

Я б не рекомендував його довгостроково (оскільки він фактично не вирішує проблему), але якщо ви хочете, щоб fail2ban працював негайно, він виконує цю роботу.

— Глен Девіс
джерело

0

Проблема з файлами конфігурації.

У мене були jail.conf і jail.d/defaults-debian.conf

Зміст останнього був:

[sshd]
enabled = true

Через те, що тут не встановлено бекенд, використовується значення за замовчуванням замість значення в jail.conf. Проблема ist детально описана тут: https://github.com/fail2ban/fail2ban/isissue/1372

додавши backend = systemdзробив трюк.

defaults-debian.conf

[sshd]
enabled = true
backend = systemd

— southz rgw
джерело