Come configurare fail2ban con il journal di systemd?

10

Ho installato fail2bansul contenitore Debian Jessie LXC, attualmente non riesce a causa di:

Starting authentication failure monitor: fail2ban
ERROR  No file(s) found for glob /var/log/auth.log
ERROR  Failed during configuration: Have not found any log file for ssh jail

Non c'è syslogo rsyslogsul sistema e quindi /var/log/auth.lognon viene generato. C'è un modo per dire fail2bancome utilizzare l'output di journalctl _COMM=sshd?

fail2ban  systemd-journald 
Tombart
fonte

Risposte:

11

Per i sistemi systemd:

Devi specificare il back-in /etc/fail2ban/jail.confda usare systemdcome segue:

backend = systemd

Quindi riavviare fail2ban:

systemctl restart fail2ban

Modificare:

Sono un tipo CentOS / RHEL / Fedora pesante, quindi potresti dover adattare un po 'quello che dico. Per quanto riguarda questa risposta, potrebbe essere necessario aggiornare il pacchetto fail2ban a una versione che supporti systemd come backend oppure dovrai installare rsysloge aggiungere quanto segue al tuo /etc/rsyslog.conf:

authpriv.*      /var/log/auth.log

Questo farà in modo che i log di autenticazione sshd stiano eseguendo il log in /var/log/auth.logcui verranno letti dal pyinotifyback-end predefinito in fail2ban:

systemdl'opzione non sembra essere supportata da fail2ban 0.8.13:fail2banERROR NOK: ("Unknown backend systemd. Must be among ['pyinotify', 'gamin', 'polling'] or 'auto'",)
Tombart
@Tombart Quale versione di Debian stai usando? Sembra che tu abbia bisogno di un pacchetto fail2ban aggiornato che supporti il ​​back-end di systemd O puoi installare rsyslog e aggiungere la giusta configurazione al tuo rsyslog.conf
È l'ultima versione di Debian 8 Jessie fornita con il systemdsupporto.
Tombart,
@MatthewSanabria, perché have to install rsyslogin centos?
kittygirl,
2

Avrai bisogno di fail2ban versione 0.9.0 che può supportare systemd, mentre Debian Jessie ha 0,8.3 nel repository.

Prova a scaricare e installare da fonti o cerca i repository alternativi.

Saluti.

Tim Connor
fonte
1

Ho lo stesso problema. Invece di capirlo, ho finito per reinstallare syslogd per generare i file di registro.

apt-get install inetutils-syslogd

Potrebbero essere necessari alcuni minuti dopo l'installazione per creare il file di registro. Verrà creato quando viene aggiunta una voce di registro.

Non lo consiglierei a lungo termine (poiché in realtà non risolve il problema), ma se vuoi che fail2ban funzioni immediatamente, fa il lavoro.

Glen Davies
fonte
0

C'è un problema con i file di configurazione.

Ho avuto jail.conf e jail.d/defaults-debian.conf

Il contenuto di quest'ultimo era:

[sshd]
enabled = true

A causa del fatto che il back-end non è impostato qui, viene utilizzato il valore predefinito anziché quello in jail.conf. Il problema è descritto in dettaglio qui: https://github.com/fail2ban/fail2ban/issues/1372

l'aggiunta ha backend = systemdfatto il trucco.

default-debian.conf

[sshd]
enabled = true
backend = systemd
Southz rgw
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.