Portál AbcLinuxu, 11. května 2025 01:11

Dotaz: Fail2ban - interpretace logu

polo23 avatar 1.9.2019 20:14 polo23 | skóre: 28 | blog: polo23
Fail2ban - interpretace logu
Přečteno: 230×
Odpovědět | Admin
Ahoj, potreboval bych poradit s interpretaci log souboru(/var/log/fail2ban.log) sluzby fail2ban. Nedari se mi nikde vygooglit.

Nize je cast logu. No a co mi neni jasne, proc jsou vsechny zaznamy duplikovane? Vzdy je tam uvedeno [ssh] a [sshd].

211:2546:2019-09-01 18:46:18,074 fail2ban.actions [514]: NOTICE [ssh] Ban 49.88.112.69

212:2547:2019-09-01 18:46:18,079 fail2ban.actions [514]: NOTICE [sshd] Ban 49.88.112.69

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

vencour avatar 1.9.2019 22:13 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Fail2ban - interpretace logu
Odpovědět | | Sbalit | Link | Blokovat | Admin
A nemáte v konfiguraci záznam pro ssh i sshd?
Co se koukam do logu, tak ten string v hranatých závorkách by měl být v jail.conf ...
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
polo23 avatar 2.9.2019 07:46 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: Fail2ban - interpretace logu
Ja prave nevim jaky je v tomto pripade rozdil mezi ssh a sshd. Normalne je ssh client a sshd je daemon. V iptables jsem nasel, ze pro ssh a sshd je zvlast chain...

Chain f2b-ssh (1 references)
Chain f2b-sshd (1 references)

jail.conf
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode = normal
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 86400
findtime = 600
maxretry = 3
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
polo23 avatar 2.9.2019 07:48 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: Fail2ban - interpretace logu
Kdyz se na to ale tedka divam... Tak to vypada, ze mam duplicitni konfiguraci. Jako, ze pro ssh ban mam nastaveno jednou v jail.local a podruhe v jail.conf. Zkusim si s tim jeste pohrat...
Řešení 1× (polo23 (tazatel))
polo23 avatar 2.9.2019 07:57 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: Fail2ban - interpretace logu
Je to tak, byla to duplicitni konfigurace. Stacilo v jail.local zakomentovat sekci ssh.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.