Задать вопрос
@historydev
Редактирую файлы с непонятными расширениями

Почему не запускается fail2ban?

Я хочу защитить от брута ssh, мне посоветовали пакет fail2ban, но сразу после установки я получаю ошибки:

systemctl status fail2ban:
× fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; preset: enabled)
     Active: failed (Result: exit-code) since Mon 2024-01-08 00:34:37 MSK; 8s ago
   Duration: 39ms
       Docs: man:fail2ban(1)
    Process: 20082 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
   Main PID: 20082 (code=exited, status=255/EXCEPTION)
        CPU: 38ms

Jan 08 00:34:37 name systemd[1]: Started fail2ban.service - Fail2Ban Service.
Jan 08 00:34:37 name fail2ban-server[20082]: 2024-01-08 00:34:37,693 fail2ban.configreader   [20082]: WARNING 'allowipv6' not defined in 'Definition'. Using default one: 'auto'
Jan 08 00:34:37 name fail2ban-server[20082]: 2024-01-08 00:34:37,697 fail2ban                [20082]: ERROR   Failed during configuration: Have not found any log file for sshd jail
Jan 08 00:34:37 name fail2ban-server[20082]: 2024-01-08 00:34:37,698 fail2ban                [20082]: ERROR   Async configuration of server failed
Jan 08 00:34:37 name systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/EXCEPTION
Jan 08 00:34:37 name systemd[1]: fail2ban.service: Failed with result 'exit-code'.


Я понял что ошибка в логах, но что мне нужно сделать?

Я пробовал заменить в секции sshd путь к файлу, он как-будто вообще не реагирует на изменения:
[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


Я оставил стандартный конфиг, ничего не трогал, кроме как cp jail.conf jail.local как написано в заголовке.

Что мне нужно сделать чтобы он заработал?
  • Вопрос задан
  • 3140 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
@SunTechnik
1. Вы бы показали, что именно меняли. (Как было, как стало, и в каком файле).

2. Для работы fail2ban нужен лог от sshd, куда попадают логи о попытках входа.
Есть предустановленная переменная: %(sshd_log)s, но, судя по всему, по указанному пути данный файл не найден.
Так как дистрибутив и его версия не указаны, то данный файл Вам надо найти самим и указать его в настройках.
Ответ написан
@ACrowbar
Если я правильно понял, то сейчас используется Journald, а он пишет логи куда то в другие места.
Для возвращения /var/log/auth.log и др. надо ставить rsyslog.
Либо изменять настройки. У меня завелось с такими параметрами:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = journal
backend = systemd
maxretry = 3
bantime = 1h


При этом, эти настройки я добавил в /etc/fail2ban/jail.d/defaults-debian.conf на который ссылается основной файл. В других местах эти параметры я убрал.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы