Fail2ban не работает?

Question

Fail2ban не работает?

Я пытаюсь использовать команду fail2ban-regex для проверки моего фильтра и регулярного выражения, но это не так. похоже, не повезло. Я использовал учебник, чтобы продемонстрировать, как использовать гем Devise с Rails для регистрации неудачных попыток входа.

Вот мой файл /etc/fail2ban/filter.d/core.conf :

[INCLUDES]
before = common.conf

[Definition]
failregex = ^\s*(\[.+?\] )*Failed login for '.*' from <HOST> at $

, а затем вот мой файл. что у меня есть в моем файле /etc/fail2ban/jail.conf .

[core]
enabled = true
filter  = core
port    = http,https
logpath = /home/rails/Documents/rails_app/devise.log
bantime = 3600
findtime = 600
maxretry = 2

А вот пример вывода из файла devise.log , созданного Rails:

# Logfile created on 2018-09-26 16:19:41 -0500 by logger.rb/61378
E, [2018-09-26T16:19:41.353620 #12157] ERROR -- : Failed login for 'ekjtherkjh@gmail.com' from 172.16.38.1 at 2018-09-26T21:19:41Z
E, [2018-09-26T16:27:17.469743 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:17Z
E, [2018-09-26T16:27:19.706783 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:19Z
E, [2018-09-26T16:27:21.504956 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:21Z
E, [2018-09-26T16:27:23.193147 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:23Z

Это точно что было использовано в учебнике. Однако, когда я отправил неверные попытки входа в систему, ничего не произошло.

Вот результат моей команды fail2ban-regex :

[myuser:ubuntu:/etc/fail2ban/filter.d]$ fail2ban-regex /home/rails/Documents/rails_app/devise.log "^\s*(\[.+?\] )*Failed login for '.*' from <HOST> at $"

Running tests
=============

Use   failregex line : ^\s*(\[.+?\] )*Failed login for '.*' from <HOST> at $
Use         log file : /home/rails/Documents/rails_app/devise.log
Use         encoding : UTF-8


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [13] ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
`-

Lines: 13 lines, 0 ignored, 0 matched, 13 missed
[processed in 0.02 sec]

|- Missed line(s):
|  E, [2018-09-26T16:19:41.353620 #12157] ERROR -- : Failed login for 'ekjtherkjh@gmail.com' from 172.16.38.1 at 2018-09-26T21:19:41Z
|  E, [2018-09-26T16:27:17.469743 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:17Z
|  E, [2018-09-26T16:27:19.706783 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:19Z
|  E, [2018-09-26T16:27:21.504956 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:21Z
|  E, [2018-09-26T16:27:23.193147 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:23Z
|  E, [2018-09-26T16:27:24.959032 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:24Z
|  E, [2018-09-26T16:27:26.661292 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:26Z
|  E, [2018-09-26T16:27:28.297408 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:28Z
|  E, [2018-09-26T16:27:30.179503 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:30Z
|  E, [2018-09-26T16:27:31.940616 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:27:31Z
|  E, [2018-09-26T16:32:42.579173 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:32:42Z
|  E, [2018-09-26T16:32:44.817088 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:32:44Z
|  E, [2018-09-26T16:32:46.660918 #12157] ERROR -- : Failed login for 'kjelkjer@gmail.com' from 172.16.38.1 at 2018-09-26T21:32:46Z

Не знаю, почему это не работает. Есть случайные предложения? Я пытался манипулировать своим регулярным выражением, но все равно безуспешно.

РЕДАКТИРОВАТЬ

Буквально кажется, что Fail2Ban сломан или я просто полностью испортил регулярное выражение. Я уменьшил свое устройство. Теперь кажется, что failregex не работает. У меня есть точно такое же регулярное выражение, предоставленное для fail2ban-regex для другого примера, который действительно работал, и у меня есть то же самое в части failregex файла conf. По-прежнему ничего.


         
            0

         
         
            fail2ban         
         
         
            задан LewlSauce
            27 September 2018 в 02:25 
         
         
         Ссылка


    1 ответ


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                      Думаю, я только что понял это.  После установки  datepattern =  на пустое значение в файле фильтра теперь всегда соответствует.  4 часа потратил на то, чтобы понять это. 
                  
                  0

                  
                  
                     ответ дан 
                     5 December 2019 в 05:16 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         fail2ban       

        Похожие вопросы
        
          
                          204 
 Как Не запретить IP правильно с Fail2Ban - 29 June 2011 14:43 
                            62 
 Denyhosts по сравнению с fail2ban по сравнению с iptables-лучшим способом предотвратить входы в систему грубой силы? - 3 April 2010 04:07 
                            38 
 Постоянный блок IP после n повторения с помощью fail2ban - 7 August 2012 14:59 
                            36 
  Как показать все заблокированные IP-адреса с помощью fail2ban?  - 26 October 2017 04:08 
                            24 
 В Fail2Ban, Как Изменить номер порта SSH? - 9 July 2016 20:28 
                            17 
 Fail2Ban: уже запрещенный? - 19 June 2014 13:55 
                            16 
 Запрет адресов IPv6 - 14 December 2014 14:46 
                            15 
 Совместное использование fail2ban запретило дюйм/с - 2 September 2014 23:30 
                            14 
 Остановитесь fail2ban останавливаются/начинают уведомления - 8 April 2011 19:41 
                            14 
 Действительно ли это стоит усилия заблокировать отказавшие попытки входа в систему - 13 April 2017 05:14 
                            13 
 Как я устанавливаю контроль MySQL с Fail2ban? - 30 March 2011 09:50 
                            12 
 Установка от EPEL на Amazon EC2 - 8 April 2013 11:57 
                            11 
 действительно ли fail2ban безопасен? Лучше использовать ssh ключи? - 22 June 2010 17:42 
                            11 
 Журнал Fail2ban, заполненный записями, говоря “fail2ban.filter: ПРЕДУПРЕЖДЕНИЕ Решительного IP с помощью DNS Lookup:..” - 26 November 2013 15:20 
                            9 
  Защита серверов Linux: iptables vs fail2ban  - 18 May 2017 12:01

score 0 · Answer 1 · 5 December 2019 в 05:16

Думаю, я только что понял это. После установки datepattern = на пустое значение в файле фильтра теперь всегда соответствует. 4 часа потратил на то, чтобы понять это.