Как настроить fail2ban с системным журналом?

10

Я установил fail2banна контейнер Debian Jessie LXC, в настоящее время он не работает из-за:

Starting authentication failure monitor: fail2ban
ERROR  No file(s) found for glob /var/log/auth.log
ERROR  Failed during configuration: Have not found any log file for ssh jail

Там нет syslogили rsyslogв системе и, следовательно /var/log/auth.log, не генерируется. Есть ли способ, как сказать, fail2banчтобы использовать выход из journalctl _COMM=sshd?

Tombart
источник

Ответы:

11

Для системных систем:

Вы должны указать серверную часть /etc/fail2ban/jail.confдля использования systemdследующим образом:

backend = systemd

Затем перезапустите fail2ban:

systemctl restart fail2ban

Редактировать:

Я большой парень из CentOS / RHEL / Fedora, поэтому вам, возможно, придется немного изменить то, что я говорю. Что касается этого ответа, вам, возможно, придется обновить пакет fail2ban до версии, которая поддерживает systemd в качестве бэкэнда, или вам придется установить rsyslogи добавить следующее в ваш /etc/rsyslog.conf:

authpriv.*      /var/log/auth.log

Это обеспечит регистрацию журналов авторизации sshd, /var/log/auth.logкоторые будут считываться pyinotifyсерверной частью по умолчанию в fail2ban:


источник
systemdОпция не поддерживается fail2ban 0.8.13:fail2banERROR NOK: ("Unknown backend systemd. Must be among ['pyinotify', 'gamin', 'polling'] or 'auto'",)
Tombart
@Tombart Какую версию Debian вы используете? Похоже, вам нужен обновленный пакет fail2ban, который поддерживает бэкэнд systemd, ИЛИ вы можете установить rsyslog и добавить правильную конфигурацию в ваш rsyslog.conf
Это последняя версия Debian 8 Jessie, которая поставляется с systemdподдержкой.
Томбарт
@ MatthewSanabria, почему have to install rsyslogв сентос?
Kittygirl
2

Вам понадобится fail2ban версии 0.9.0, который может поддерживать systemd, в то время как Debian Jessie имеет 0.8.3 в хранилище.

Попробуйте загрузить и установить из источников, или искать альтернативные репозитории.

С уважением.

Тим Коннор
источник
1

У меня такая же проблема. Вместо того, чтобы выяснить это, я переустановил syslogd для генерации лог-файлов.

apt-get install inetutils-syslogd

Создание файла журнала может занять несколько минут после установки. Он будет создан при добавлении записи в журнал.

Я бы не рекомендовал это в долгосрочной перспективе (так как на самом деле это не решает проблему), но если вы хотите, чтобы fail2ban работал немедленно, он выполняет свою работу.

Глен Дэвис
источник
0

Существует проблема с файлами конфигурации.

У меня был jail.conf и jail.d/defaults-debian.conf

Содержание последнего было:

[sshd]
enabled = true

Из-за того, что здесь не задан сервер, вместо значения в используется значение по умолчанию jail.conf. Проблема подробно описана здесь: https://github.com/fail2ban/fail2ban/issues/1372

добавление backend = systemdсделал свое дело.

по умолчанию-debian.conf

[sshd]
enabled = true
backend = systemd
Southz RGW
источник