Fail2ban — несанкционированная разблокировка банов, в чем причина?

Question

[Adept Попкен]

Поставил fail2ban, настроил. Сразу забанило пачку ботнетов. Но сегодня с утра вижу в логе fail2ban:

2014-10-21 22:26:21,101 fail2ban.actions: WARNING [ssh] Ban 5.228.57.161
2014-10-21 23:57:28,590 fail2ban.actions: WARNING [ssh] Ban 61.174.51.214
2014-10-22 01:54:26,427 fail2ban.actions: WARNING [ssh] Ban 115.146.122.183
2014-10-22 02:32:17,326 fail2ban.actions: WARNING [ssh] Ban 122.225.97.117
2014-10-22 02:48:28,413 fail2ban.actions: WARNING [ssh] Ban 122.225.109.199
2014-10-22 06:09:21,948 fail2ban.actions: WARNING [ssh] Ban 122.225.109.108
2014-10-22 06:59:46,675 fail2ban.actions: WARNING [ssh] Ban 117.27.158.78
2014-10-22 10:34:53,259 fail2ban.actions: WARNING [ssh] Ban 222.186.55.215
2014-10-22 11:56:18,736 fail2ban.actions: WARNING [ssh] Ban 189.203.240.53
2014-10-22 11:56:23,499 fail2ban.actions: WARNING [ssh] 189.203.240.53 already banned
2014-10-22 13:37:45,268 fail2ban.server : INFO Stopping all jails
2014-10-22 13:37:45,360 fail2ban.actions: WARNING [ssh] Unban 78.25.122.156
2014-10-22 13:37:45,786 fail2ban.actions: WARNING [ssh] Unban 37.110.31.162
2014-10-22 13:37:45,790 fail2ban.actions: WARNING [ssh] Unban 188.65.234.16
2014-10-22 13:37:45,794 fail2ban.actions: WARNING [ssh] Unban 89.140.177.34
2014-10-22 13:37:45,798 fail2ban.actions: WARNING [ssh] Unban 95.78.125.196
2014-10-22 13:37:45,802 fail2ban.actions: WARNING [ssh] Unban 79.173.127.201

Что бы это могло быть? Массовое снятие банов? Кто то хакнул машинку и снял баны?

Временной интервал в настройках fail2ban у меня стоит 15 суток.
Set banTime = 1296000

Что подскажете господа?

Answer 1

[Adept Попкен]

Ответ найден господа!
Fail2ban по умолчанию при отправке команды reboot чистит все таблицы банов. Зачем правда, не понятно.
Логи со временем снятия банов совпали до секунды, с временем действий юзера рута, который отправлял сервер в ребут.

Так что ничего криминального :)

Comments

[Fess]

Проверьте, в таком случае, в actions параметр actionstop. Думаю, Вы захотите его отчистить, что бы при релоаде и остановке fail2ban'а такого не происходило.

Answer 2

[conroe1]

Посмотри логи авторизации, в системе появились новые пользователи ?

Comments

[Adept Попкен]

ничего подозрительного не увидел в списке юзеров.

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
avahi-autoipd:x:101:103:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
colord:x:103:106:colord colour management daemon,,,:/var/lib/colord:/bin/false
Debian-exim:x:104:109::/var/spool/exim4:/bin/false
statd:x:105:65534::/var/lib/nfs:/bin/false
avahi:x:106:112:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
hplip:x:107:7:HPLIP system user,,,:/var/run/hplip:/bin/false
saned:x:108:115::/home/saned:/bin/false
adept:x:1000:1000:adept,,,:/home/adept:/bin/bash
sshd:x:109:65534::/var/run/sshd:/usr/sbin/nologin
mysql:x:110:116:MySQL Server,,,:/nonexistent:/bin/false
debian-transmission:x:111:118::/home/debian-transmission:/bin/false

В auth.log тоже не нашел ничего за это время, только мой юзер. А вот попыток ввода пароля, просто до жути много.