Вопросы Теги

Fail2Ban keeps banning on restart

I'm facing a confusing issue with Fail2Ban.

I run an older version which, upon restart of the Fail2Ban Daemon unbans all IP addresses.

I now have Fail2Ban version 0.9.3 installed on Centos 7. When I restart Fail2Ban, it re-bans the previously banned IP addresses. I do not want this to happen, and instead want all bans cleared on restart, which is the way it used to work.

I've set dbfile = None to prevent persistent banning and also set dbpurgeage = 0 just to be safe.

But on restart any banned IP's get banned again.

Here's an excerpt from /var/log/fail2ban.log when a user gets banned via vsftpd:

2016-09-19 20:45:58,671 fail2ban.filter         [23752]: INFO    [vsftpd] Found xx.xx.xx.xx
2016-09-19 21:01:55,665 fail2ban.filter         [23752]: INFO    [vsftpd] Found xx.xx.xx.xx
2016-09-19 21:02:06,679 fail2ban.filter         [23752]: INFO    [vsftpd] Found xx.xx.xx.xx
2016-09-19 21:02:06,936 fail2ban.actions        [23752]: NOTICE  [vsftpd] Ban xx.xx.xx.xx

Then upon restarting Fail2Ban here's the last few lines of the log file:

2016-09-19 21:02:42,719 fail2ban.jail           [24213]: INFO    Jail 'vsftpd' started
2016-09-19 21:02:42,761 fail2ban.filter         [24213]: INFO    [vsftpd] Found xx.xx.xx.xx
2016-09-19 21:02:42,761 fail2ban.filter         [24213]: INFO    [vsftpd] Found xx.xx.xx.xx
2016-09-19 21:02:42,921 fail2ban.actions        [24213]: NOTICE  [vsftpd] Ban xx.xx.xx.xx

It seems to be re-scanning the log files and re-banning a previously banned user.

As I mention, this is not how it used to work in older versions of Fail2Ban - how can I revert to the previous functionality?

1
задан 24 December 2018 в 23:08
1 ответ

Отключение использования db-файла означает, что fail2ban теряет позицию чтения в каждом файле при перезагрузке и поэтому читает весь файл, что приводит к наблюдаемому поведению.

Добавление tail после имен файлов в операторах logpath скажет fail2ban начать чтение с конца файла, а не с начала. Это должно (я думаю) дать желаемое поведение (или близкое к желаемому). Смотрите docs для более подробной информации. Соответствующий раздел ...

Необязательная опция 'tail', разделенная пробелами, может быть добавлена к конец пути, чтобы вызвать считывание лог-файла с конца, иначе... по умолчанию опция 'head' читает файл с начала

Однако, я бы согласился с подтекстом комментария Майкла Хэмптона - правильный способ разобраться с этим - восстановить использование dbfile и использовать функционал unban.

.
2
ответ дан 3 December 2019 в 20:34

Теги

Похожие вопросы