Журнал Fail2ban, заполненный записями, говоря “fail2ban.filter: ПРЕДУПРЕЖДЕНИЕ Решительного IP с помощью DNS Lookup:..”

Была такая же проблема.

Простое решение: добавьте следующую строку вверху файла /etc/fail2ban/jail.conf в секция [DEFAULT]

usedns = no

Чтобы понять, почему ваш файл журнала заполняется предупреждениями, обратитесь к следующей странице в вики-странице Fail2Ban . В основном это делается для того, чтобы люди не манипулировали PTR-записью своих IP-адресов атаки, чтобы вводить ложные значения в ваши журналы.

Проверьте запись PTR [IP-адреса] и сравните разрешенное имя с исходным IP-адресом, т.е.

drill -x ip_address or dig -x ip_address or host ip_address

Затем сравните результат с:

drill result or dig result or host result

Он должен быть таким же. Если нет - злоумышленник изменил PTR. Вы можете изменить директиву usedns на «no» или «warn» в jail.conf .

В моем случае предупреждение было следующим:

ВНИМАНИЕ IP-адрес определен с помощью поиска DNS: localhost = ['127.0.0.1', '127.0.0.1', '::1']

Оно появлялось каждые 10 секунд. Установка usedns=no была не вариантом, так как я хотел получить первопричину - ведь где-то в моих логах появился этот "localhost". Перепробовав кучу журналов, я пошел по пути «грубой силы»:

find /var/log -type f -name '*.log' | xargs grep localhost -l

, который дал мне все файлы журналов, содержащие этот «localhost» (которых было всего два, один из них сам fail2ban.log).

Оказалось, что это был "mysql/error.log". Я удалил базу данных без остановки службы (omg...), что привело к (каждые 10 секунд):

2021-01-20T05:31:17.784116Z 2680 [Примечание] Доступ запрещен для пользователя myserviceaccount@'localhost' (используя пароль: YES).

В конце концов - не нужно останавливать предупреждения (просто остановите службу ;-) ).