0

Fail2Ban に問題があります

2018-02-23 18:23:48,727 fail2ban.datedetector   [4859]: DEBUG   Matched time     template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2018-02-23 18:23:48,727 fail2ban.datedetector   [4859]: DEBUG   Got time  1519352628.000000 for "'Feb 23 10:23:48'" using template (?:DAY )?MON Day     24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2018-02-23 18:23:48,727 fail2ban.filter         [4859]: DEBUG   Processing line with time:1519352628.0 and ip:158.140.140.217
2018-02-23 18:23:48,727 fail2ban.filter         [4859]: DEBUG   Ignore line since time 1519352628.0 < 1519381428.727771 - 600

時間のずれが検査期間よりも大きいため、「ラインを無視」と表示されます。しかし、そうではありません。

実際に 1519352628.0 が 2 月 23 日 10:23:48 から派生したものである場合、もう一方の日付 1519381428.727771 は間違っているに違いありません。

これを繰り返しヒットする「無効なユーザー」のテストを実行しました。しかし、Fail2ban は常にこの行を無視しています。

1 秒以内に Filter Matches を取得していると確信しています。

これは Ubuntu 16.04 と Fail2ban 0.9.3 です。

ご協力いただきありがとうございます。

4

1 に答える 1

0

お使いのマシンにタイム ゾーンの問題があり、混乱を招く可能性があるようです。正しいタイムゾーンを設定して、 rsyslogdとfail2banの両方を再起動してみてください

デバッグ ログについて:

1519352628.0      = Feb 23 02:23:48

-> ログ ファイルの行から解析されたタイムスタンプは、時間 Feb 23 10:23:48 - 08:00 タイム ゾーン オフセット!

1519381428.727771 = Feb 23 10:23:48

-> fail2ban がログを処理した現在時刻のタイムスタンプ。

偶然にも、これはログ ファイルの時間と同じです。それが、この場合、混乱を招く原因です。

1519381428.727771 - 600 = Feb 23 10:13:48

findtime = 10m-> jail.conf で設定してから、ログ ファイルを過去にさかのぼる時間の制限。

タイム ゾーンが -08:00 に設定されているため、Fail2ban は 10 分より古いと思われるログ エントリを「正しく」無視します。

ところで:

禁止に IPv6 サポートが必要な場合は、fail2ban を v0.10.x にアップグレードすることを検討してください。

また、この素晴らしい新しい自動インクリメント bantime 機能を備えた真新しい fail2ban バージョン v0.11 (まだ安定版とはマークされていませんが、私のマシンでは 1 か月以上問題なく動作しています) もあります。

于 2018-02-28T11:03:20.303 に答える