fail2ban 未在 Ubuntu 20.04 上禁止 IP

fail2ban 未在 Ubuntu 20.04 上禁止 IP

Ubuntu 20.04。尝试为 SSH 配置 fail2ban,但 fail2ban 未禁止任何 IP

/etc/fail2ban/jail.local
[DEFAULT]
bantime = 10m
ignoreip = 127.0.0.1/8 ##.##.##.##/32 ##.##.##.##/32
findtime  = 30m
maxretry = 3
[sshd]
enabled = true
# modes: normal (default), ddos, extra or aggressive (combines all).
#mode   = normal
port    = ssh,2233
logpath = %(sshd_log)s
backend = %(sshd_backend)s

从未启用 ignoreip 的主机上进行了 20 次以上错误尝试,但仍然看到此信息

 fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:   

跑步

 fail2ban-regex --print-all-matched /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

显示失败的尝试似乎可以被 fail2ban 看到
| 9 月 7 日 15:59:48 存储 sshd[29733]: 来自 ##.##.##.## 端口 33260 ssh2 的 root 密码失败

启用调试:fail2ban-client 设置日志级别 DEBUG
我在 fail2ban 日志上看到的都是这样的条目

2020-09-07 10:45:01,795 fail2ban.filterpyinotif [29945]: DEBUG   Event queue size: 16
2020-09-07 10:45:01,795 fail2ban.filterpyinotif [29945]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2020-09-07 10:45:07,116 fail2ban.filterpyinotif [29945]: DEBUG   Event queue size: 16
2020-09-07 10:45:07,116 fail2ban.filterpyinotif [29945]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >

关于可以检查或尝试解决该问题有什么建议吗?

答案1

对于那些在线程消失几个月后发现此问题的人来说,我在按照大多数文章的步骤安装新的 20.04 服务器时遇到了同样的问题。

我通过明确设置解决了这个问题:

sshd_backend = systemd

在我的 jails.local 的 [sshd] 部分中。

默认值(pynotify)对于该系统来说不正确,或者存在一些更深层次的问题,导致其无法按预期运行。

答案2

检查此问题

Fail2ban 使用第一行的哈希值来检测日志轮换(通常它总是寻找最后已知的位置,除非它旋转)...

我猜你是在通过在日志开头写一个空行来清空日志。

相关内容