@AlTrec76

Fail2ban валидирует фильтр, но не обрабатывает соответствующие строки из /var/log/auth.log. Как быть?

Помогите, пожалуйста, разобраться. Regex настроен, командой fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/test.conf верно определяет количество совпадений:
:~# fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/test.conf
Running tests
=============
Use   failregex filter file : test, basedir: /etc/fail2ban
Use         log file : /var/log/auth.log
Use         encoding : UTF-8
Results
=======
Failregex: 126 total
|-  #) [# of hits] regular expression
|   1) [21] .*Authentication attempt for unknown user .* from <HOST>$
|   2) [105] .*Authentication failure for .* from <HOST>$
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
|  [10578] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-
Lines: 10578 lines, 0 ignored, 126 matched, 10452 missed
[processed in 0.48 sec]
Missed line(s): too many to print.  Use --print-all-missed to print all 10452 lines

Строка в лог файле присутствует:
Mar 18 09:45:57 host andi(andirc.ru)[1201]: Authentication failure for andi@mail.ru from 85.35.201.151

Но не обрабатывается fail2ban (нет этой строки в TRACE Working on line файла fail2ban.log) и, как следствие, не банит IP
Некоторые строки, при этом, из данного файла обрабатываются, но они бесполезны, на них нет фильтров

Подскажите, куда копать?
  • Вопрос задан
  • 98 просмотров
Решения вопроса 1
@AlTrec76 Автор вопроса
Решение найдено!
Оказывается, в jail.conf встречались параметры backend, на которые, почему-то стал ругаться переустановленный начисто fail2ban, потом ему не понравились переменные %(dovecot_log)s и %(postfix_log)s в качестве logpath. После всех устранений, fail2ban успешно запустился. Проверка показала, что он стал активно ловить блох! Как он до этого успешно отлавливал их с dovecot и postfix - ума не приложу (версии были одинаковые), но ловил до последнего и при перезагрузках не было никаких претензий на вышеуказанные ошибки.
Спасибо всем, кто попытался помочь!
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы