Назад | Перейти на главную страницу

В письмах Fail2Ban не отображаются выдержки из файлов журнала Apache

Недавно я впервые установил Debian Jessie на сервере. «Очевидно» fail2ban был настроен очень рано.

Он запрещает IP-адреса и отправляет мне электронные письма, но адреса на основе Apache не содержат каких-либо выдержек из соответствующих файлов журналов. Например, на основе SSH.

Пример отчета Apache:

Hi,

The IP 193.201.227.112 has just been banned by Fail2Ban after
5 attempts against apache-xmlrpc.


Here is more information about 193.201.227.112:

(info about it deleted)


Lines containing IP:193.201.227.112 in /home/*/logs/*access.log



Regards,

Fail2Ban

Пример отчета SSH:

Hi,

The IP 184.173.26.138 has just been banned by Fail2Ban after
3 attempts against ssh.


Here is more information about 184.173.26.138:

(info about it deleted)


Lines containing IP:184.173.26.138 in /var/log/auth.log

Nov  5 08:21:38 example sshd[20158]: Failed password for invalid user ubnt from 184.173.26.138 port 51131 ssh2
Nov  5 08:21:38 example sshd[20158]: error: Received disconnect from 184.173.26.138: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]


Regards,

Fail2Ban

/etc/fail2ban/jail.local извлечение:

action    = %(action_mwl)s

# JAILS

[ssh]

enabled   = true
maxretry  = 3

(..)

[apache-xmlrpc]

enabled  = true
port     = http,https
action   = %(action_mwl)s
filter   = apache-xmlrpc
logpath  = /home/*/logs/*access.log
maxretry = 5

Изменилось ли что-то между Debian Wheezy (где в обоих были включены строки файла журнала) и Jessie?

Подробная информация о файлах журнала и строках, отсутствующих в отчете Apache, на pastebin.com/qK8ARrsz (здесь можно вызвать ложноположительную ошибку спама!)

(Добавлено позже) /var/log/fail2ban.log не жалуется:

2015-11-04 23:27:08,862 fail2ban.actions[1993]: WARNING [ssh] Ban 109.161.203.139
2015-11-04 23:38:58,786 fail2ban.actions[1993]: WARNING [ssh] Unban 59.47.0.148
2015-11-05 00:55:53,869 fail2ban.actions[1993]: WARNING [ssh] Ban 14.29.113.190
2015-11-05 00:57:38,031 fail2ban.actions[1993]: WARNING [ssh] Ban 109.161.216.214
2015-11-05 05:47:06,644 fail2ban.filter [1993]: WARNING Determined IP using DNS Lookup: mbl-109-61-47.dsl.net.pk = ['124.109.61.47']
2015-11-05 05:47:13,282 fail2ban.actions[1993]: WARNING [ssh] Ban 124.109.61.47
2015-11-05 08:00:20,049 fail2ban.actions[1993]: WARNING [apache-xmlrpc] Ban 193.201.227.112
2015-11-05 08:21:36,278 fail2ban.filter [1993]: WARNING Determined IP using DNS Lookup: 8a.1a.adb8.ip4.static.sl-reverse.com = ['184.173.26.138']
2015-11-05 08:21:39,333 fail2ban.filter [1993]: WARNING Determined IP using DNS Lookup: 8a.1a.adb8.ip4.static.sl-reverse.com = ['184.173.26.138']
2015-11-05 08:21:39,858 fail2ban.actions[1993]: WARNING [ssh] Ban 184.173.26.138

С одной стороны, это не большая проблема, потому что они все еще забанены, но с другой стороны, я использую один фильтр Apache, в частности, чтобы видеть, какие файлы гадкие ищут повсюду - fckeditor или uploadify.php и т. Д. - чтобы они могли быть забаненным раньше.

Спасибо.