Почему fail2ban не банит ip при неправильном логине/пароле в owncloud?

Question

arbrspb @arbrspb

Почему fail2ban не банит ip при неправильном логине/пароле в owncloud?

Система Ubuntu Linux 18.04.2
Ядро Linux 4.15.0-58-generic на x86_64
Версия ownCloud 10.2.1 (stable)
owncloud работает через https на порту 45320

etc/fail2ban/jail.conf
[owncloud]
enabled = true
port = https
logpath = /var/log/owncloud-acces.log
ignoreip = 192.168.1.59
action = iptables[name=owncloud, port=45320, protocol=tcp]
____________________________________________________________________________
etc/fail2ban/filter.d/ownCloud.conf
[Definition]
failregex = {"reqId":".*","level":2,"time":".*","remoteAddr":".*","user":"--","app":"core","method":".*","message":"Login failed: '.*' $Remote IP: ''$"}
ignoreregex =
______________________________________________________________________________

arbrspb@nas:~$ sudo fail2ban-client status owncloud
Status for the jail: owncloud
|- Filter
| |- Currently failed: 1
| |- Total failed: 47
| `- File list: /var/log/owncloud-acces.log
`- Actions
|- Currently banned: 1
|- Total banned: 3
`- Banned IP list: 192.168.1.166
arbrspb@nas:~$
Точнее не банит а не добавляет Ip в файервол
____________________________________________________________
sudo iptables -L -n --line
Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
arbrspb@nas:~$

____________________________________________________________
Пользовался гуглом для поиска информации и для установки опирался на данную инструкцию
https://habr.com/ru/post/255019/

Вопрос задан более трёх лет назад
1378 просмотров

1 комментарий

Подписаться 3 Средний 1 комментарий

hint000 @hint000
Смотрите в логах owncloud. Есть ли там записи, соответствующие регулярному выражению
failregex = {"reqId":".*","level":2,"time":".*","remoteAddr":".*","user":"--","app":"core","method":".*","message":"Login failed: '.*' $Remote IP: ''$"}

По крайней мере, строчку "Login failed" поищите.
Логирование идёт в общий syslog или в отдельный файл?
Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

10 комментариев

arbrspb @arbrspb Автор вопроса

прописал
Тут пишет что забанило IP после нескольких неправильных попыток ввода

sudo fail2ban-client status owncloud
Status for the jail: owncloud
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     9
|  `- File list:        /var/log/owncloud-acces.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     2
   `- Banned IP list:   192.168.1.166
arbrspb@nas:~$

Тут тоже показывает какой ip

arbrspb@nas:~$ sudo fail2ban-regex /var/log/owncloud-acces.log /etc/fail2ban/filter.d/ownCloud.conf -v

Running tests
=============

Use   failregex filter file : ownCloud, basedir: /etc/fail2ban
Use         log file : /var/log/owncloud-acces.log
Use         encoding : UTF-8


Results
=======

Failregex: 90 total
|-  #) [# of hits] regular expression
|   1) [90] {.*Login failed: \'.*\' \(Remote IP: \'<HOST>\'\)"}
|      192.168.1.166  Sun Aug 18 17:36:49 2019
|      192.168.1.166  Sun Aug 18 17:37:16 2019
|      192.168.1.166  Sun Aug 18 17:37:22 2019
|      192.168.1.166  Sun Aug 18 19:28:04 2019
|      192.168.1.166  Sun Aug 18 19:28:08 2019
|      192.168.1.166  Sun Aug 18 19:28:34 2019
|      192.168.1.166  Sun Aug 18 19:28:36 2019
|      192.168.1.166  Sun Aug 18 19:28:37 2019
|      192.168.1.166  Sun Aug 18 19:28:38 2019
|      192.168.1.166  Sun Aug 18 19:28:39 2019
|      192.168.1.166  Sun Aug 18 19:28:40 2019
|      192.168.1.166  Sun Aug 18 19:28:42 2019
|      192.168.1.166  Sun Aug 18 20:05:06 2019
|      192.168.1.166  Sun Aug 18 20:05:17 2019
|      192.168.1.166  Sun Aug 18 20:05:24 2019
|      192.168.1.166  Sun Aug 18 20:05:26 2019
|      192.168.1.166  Sun Aug 18 20:05:31 2019
|      192.168.1.166  Sun Aug 18 20:05:40 2019
|      192.168.1.166  Sun Aug 18 20:05:43 2019
|      192.168.1.166  Sun Aug 18 20:37:25 2019
|      192.168.1.166  Sun Aug 18 20:37:27 2019
|      192.168.1.166  Sun Aug 18 20:37:28 2019
|      192.168.1.166  Sun Aug 18 20:37:29 2019
|      192.168.1.166  Sun Aug 18 20:37:29 2019
|      192.168.1.166  Sun Aug 18 20:37:31 2019
|      192.168.1.166  Sun Aug 18 20:37:32 2019
|      192.168.1.166  Sun Aug 18 20:37:33 2019
|      192.168.1.166  Sun Aug 18 21:02:35 2019
|      192.168.1.166  Sun Aug 18 21:02:37 2019
|      192.168.1.166  Sun Aug 18 21:02:38 2019
|      192.168.1.166  Sun Aug 18 21:02:39 2019
|      192.168.1.166  Sun Aug 18 21:02:41 2019
|      192.168.1.166  Sun Aug 18 21:02:42 2019
|      192.168.1.166  Sun Aug 18 21:02:44 2019
|      192.168.1.166  Sun Aug 18 21:02:46 2019
|      192.168.1.166  Sun Aug 18 21:04:17 2019
|      192.168.1.166  Sun Aug 18 21:04:18 2019
|      192.168.1.166  Sun Aug 18 21:04:19 2019
|      192.168.1.166  Sun Aug 18 21:04:20 2019
|      192.168.1.166  Sun Aug 18 21:04:21 2019
|      192.168.1.166  Sun Aug 18 21:04:22 2019
|      192.168.1.166  Sun Aug 18 21:04:23 2019
|      192.168.1.166  Sun Aug 18 21:04:24 2019
|      192.168.1.166  Sun Aug 18 21:12:02 2019
|      192.168.1.166  Sun Aug 18 21:12:04 2019
|      192.168.1.166  Sun Aug 18 21:12:05 2019
|      192.168.1.166  Sun Aug 18 21:12:06 2019
|      192.168.1.166  Sun Aug 18 21:12:07 2019
|      192.168.1.166  Sun Aug 18 21:12:08 2019
|      192.168.1.166  Sun Aug 18 21:12:10 2019
|      192.168.1.166  Sun Aug 18 21:12:11 2019
|      192.168.1.166  Sun Aug 18 21:12:37 2019
|      192.168.1.166  Sun Aug 18 21:13:25 2019
|      192.168.1.166  Sun Aug 18 21:13:26 2019
|      192.168.1.166  Sun Aug 18 21:13:27 2019
|      192.168.1.166  Sun Aug 18 21:13:28 2019
|      192.168.1.166  Sun Aug 18 21:13:29 2019
|      192.168.1.166  Sun Aug 18 21:13:30 2019
|      192.168.1.166  Sun Aug 18 21:13:32 2019
|      192.168.1.166  Sun Aug 18 21:24:10 2019
|      192.168.1.166  Sun Aug 18 23:28:43 2019
|      192.168.1.166  Sun Aug 18 23:28:44 2019
|      192.168.1.166  Sun Aug 18 23:28:45 2019
|      192.168.1.166  Sun Aug 18 23:28:46 2019
|      192.168.1.166  Sun Aug 18 23:28:47 2019
|      192.168.1.166  Sun Aug 18 23:28:48 2019
|      192.168.1.166  Sun Aug 18 23:28:49 2019
|      192.168.1.166  Sun Aug 18 23:28:50 2019
|      192.168.1.166  Sun Aug 18 23:36:51 2019
|      192.168.1.166  Sun Aug 18 23:36:56 2019
|      192.168.1.166  Sun Aug 18 23:54:12 2019
|      192.168.1.166  Sun Aug 18 23:54:18 2019
|      192.168.1.166  Sun Aug 18 23:54:19 2019
|      192.168.1.166  Sun Aug 18 23:55:42 2019
|      192.168.1.166  Sun Aug 18 23:55:53 2019
|      192.168.1.166  Sun Aug 18 23:55:54 2019
|      192.168.1.166  Sun Aug 18 23:55:55 2019
|      192.168.1.166  Sun Aug 18 23:55:56 2019
|      192.168.1.166  Sun Aug 18 23:55:58 2019
|      192.168.1.166  Sun Aug 18 23:55:59 2019
|      192.168.1.166  Sun Aug 18 23:56:00 2019
|      192.168.1.166  Tue Aug 20 00:05:15 2019
|      192.168.1.166  Tue Aug 20 00:06:09 2019
|      192.168.1.166  Tue Aug 20 00:06:27 2019
|      192.168.1.166  Tue Aug 20 00:06:29 2019
|      192.168.1.166  Tue Aug 20 00:06:30 2019
|      192.168.1.166  Tue Aug 20 00:06:31 2019
|      192.168.1.166  Tue Aug 20 00:06:32 2019
|      192.168.1.166  Tue Aug 20 00:06:34 2019
|      192.168.1.166  Tue Aug 20 00:06:35 2019
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [90] ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
|  [0] {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
|  [0] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
|  [0] {^LN-BEG}(?:DAY )?MON Day ExYear %k:Minute:Second(?:\.Microseconds)?
|  [0] {^LN-BEG}Day(?P<_sep>[-/])Month(?P=_sep)(?:ExYear|ExYear2) %k:Minute:Second
|  [0] {^LN-BEG}Day(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
|  [0] {^LN-BEG}Month/Day/ExYear:24hour:Minute:Second
|  [0] {^LN-BEG}Month-Day-ExYear %k:Minute:Second(?:\.Microseconds)?
|  [0] {^LN-BEG}Epoch
|  [0] {^LN-BEG}ExYear2ExMonthExDay  ?24hour:Minute:Second
|  [0] {^LN-BEG}MON Day, ExYear 12hour:Minute:Second AMPM
|  [0] {^LN-BEG}ExYearExMonthExDay(?:T|  ?)Ex24hourExMinuteExSecond(?:[.,]Microseconds)?(?:\s*Zone offset)?
|  [0] {^LN-BEG}(?:Zone name )?(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
|  [0] {^LN-BEG}(?:Zone offset )?(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
|  [0] {^LN-BEG}TAI64N
|  [0] (?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
|  [0] (?:DAY )?MON Day ExYear %k:Minute:Second(?:\.Microseconds)?
|  [0] Day(?P<_sep>[-/])Month(?P=_sep)(?:ExYear|ExYear2) %k:Minute:Second
|  [0] Day(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
|  [0] Month/Day/ExYear:24hour:Minute:Second
|  [0] Month-Day-ExYear %k:Minute:Second(?:\.Microseconds)?
|  [0] Epoch
|  [0] {^LN-BEG}24hour:Minute:Second
|  [0] ^<Month/Day/ExYear2@24hour:Minute:Second>
|  [0] ExYear2ExMonthExDay  ?24hour:Minute:Second
|  [0] MON Day, ExYear 12hour:Minute:Second AMPM
|  [0] ^MON-Day-ExYear2 %k:Minute:Second
|  [0] ExYearExMonthExDay(?:T|  ?)Ex24hourExMinuteExSecond(?:[.,]Microseconds)?(?:\s*Zone offset)?
|  [0] (?:Zone name )?(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
|  [0] (?:Zone offset )?(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
|  [0] TAI64N
`-

Lines: 90 lines, 0 ignored, 90 matched, 0 missed
[processed in 0.06 sec]

Но после бана я с этого Ip при правильном вводе логина/пароля в owncloud спокойно могу зайти,я так полагаю после бана я не должен иметь возможности зайти?

Написано более трёх лет назад

Дмитрий @q2digger

Покажите что оно там в iptables вносит.
Вывод команды:

sudo iptables -L INPUT -vnx

а также , расскажите как именно вы входите на сайт? там у вас точно порт 45320 ?

Написано более трёх лет назад
arbrspb @arbrspb Автор вопроса
Да, порт 45320
Полный путь локально получается
https://192.168.1.120:45320/owncloud/index.php/login
на внешку пока что не выводил..
sudo iptables -L INPUT -vnx
Chain INPUT (policy ACCEPT 14541473 packets, 932248138 bytes) pkts bytes target prot opt in out source destination

И правильно я понимаю править конфиг нужно в ownCloud.local ? Или ownCloud.conf ?
Хотя я прописал там и там
Аналогично для jail.conf и jail.local
И еще. У меня к системе прикручен Webmin,через него тоже можно настраивать Fail2Ban
там по умолчанию есть фильтр на сам Webmin, после включения его,он успешно работает и там в конфиге не прописывается action = iptables и после нескольких неудачных попыток ввода страница с webmin не грузится пока не разблокируешь через консоль в Fail2Ban
на всякий случай код,может можно как-то по аналогии настроить
webmin-auth.conf
# Fail2Ban filter for webmin # [INCLUDES] before = common.conf [Definition] _daemon = webmin failregex = ^%(__prefix_line)sNon-existent login as .+ from <HOST>\s*$ ^%(__prefix_line)sInvalid login as .+ from <HOST>\s*$ ignoreregex = # DEV Notes: # # pattern : webmin[15673]: Non-existent login as toto from 86.0.6.217 # webmin[29544]: Invalid login as root from 86.0.6.217 # # Rule Author: Delvit Guillaume

jail.conf
[webmin-auth] port = 10000 logpath = %(syslog_authpriv)s backend = %(syslog_backend)s

У Webmin адрес такой https://192.168.1.120:10000/
Написано более трёх лет назад
Дмитрий @q2digger

У вас отсутствуют таблицы fail2ban-а в iptables.
Разбирайтесь , почему при старте сервиса у вас fail2ban не создает необходимые таблицы.

Написано более трёх лет назад
arbrspb @arbrspb Автор вопроса

Дмитрий, я понял,а подскажите куда копать хотя бы..

Написано более трёх лет назад

Дмитрий @q2digger

так как у вас указан action = iptables , то соответственно правила должны быть указаны в файле
/etc/fail2ban/action.d/iptables.conf
Вот для примера содержимое этого файла из дистрибутива для CentOS (у меня нет под рукой убунты, но суть там одна, разницы не должно быть):

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
#

[INCLUDES]

before = iptables-common.conf

[Definition]

# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart = <iptables> -N f2b-<name>
              <iptables> -A f2b-<name> -j <returntype>
              <iptables> -I <chain> -p <protocol> --dport <port> -j f2b-<name>

# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
actionstop = <iptables> -D <chain> -p <protocol> --dport <port> -j f2b-<name>
             <iptables> -F f2b-<name>
             <iptables> -X f2b-<name>

# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
actioncheck = <iptables> -n -L <chain> | grep -q 'f2b-<name>[ \t]'

# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
# Values:  CMD
#
actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>

# Option:  actionunban
# Notes.:  command executed when unbanning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
# Values:  CMD
#
actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>

[Init]

Начинать надо с того, почему при старте fail2ban не выполняется (или выполняется, но без результата) набор команд из группы actionstart , может имеет смысл включить лог и повысить уровень логгирования до debug (в файле /etc/fail2ban/fail2ban.conf

logLevel = DEBUG
logtarget = /var/log/fail2ban.log

Вот для примера логи из работающей конфигурации.

2019-08-20 21:26:31,218 fail2ban.jail [16029]: INFO Creating new jail 'nginx-nokiddies'
2019-08-20 21:26:31,218 fail2ban.jail [16029]: INFO Jail 'nginx-nokiddies' uses poller
2019-08-20 21:26:31,219 fail2ban.jail [16029]: INFO Initiated 'polling' backend

При старте, такое сообщение означает, что создается таблица fail2ban-NiKiddies и туда отправляются пакеты, которые соответствуют конфигу.
Сам конфиг этого jail выглядит так

в файле /etc/fail2ban/jail.local

[DEFAULT]

ignoreip = 127.0.0.1/8 
ignorecommand =
bantime  = 600
findtime  = 600
maxretry = 3

[nginx-nokiddies]
enabled = true
filter = nginx-nokiddies
port   = http,https
logpath  = /var/log/nginx*/*access.log
action = iptables-multiport[name=NiKiddies, port="http,https"]
findtime = 3600
bantime = -1
maxretry = 2

Написано более трёх лет назад

Дмитрий @q2digger
Кстати только сейчас заметил
Ваш конфиг
[owncloud] enabled = true port = https logpath = /var/log/owncloud-acces.log ignoreip = 192.168.1.59 action = iptables[name=owncloud, port=45320, protocol=tcp]

port у вас в обеих строчках должен быть 45320 (у вас в верхней https).
Написано более трёх лет назад
arbrspb @arbrspb Автор вопроса

Спасибо! Буду пробовать

Написано более трёх лет назад

arbrspb @arbrspb Автор вопроса

Вот лог

2019-08-20 21:59:31,002 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 48
2019-08-20 21:59:31,003 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 48
2019-08-20 21:59:31,003 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 48
2019-08-20 21:59:31,003 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x100 name=.fail2ban.log.swp wd=1 >
2019-08-20 21:59:31,004 fail2ban.filterpyinotify[10213]: DEBUG   Ignoring creation of /var/log/.fail2ban.log.swp we do not monitor
2019-08-20 21:59:31,003 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x100 name=.fail2ban.log.swp wd=1 >
2019-08-20 21:59:31,004 fail2ban.filterpyinotify[10213]: DEBUG   Ignoring creation of /var/log/.fail2ban.log.swp we do not monitor
2019-08-20 21:59:31,003 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x100 name=.fail2ban.log.swp wd=1 >
2019-08-20 21:59:31,004 fail2ban.filterpyinotify[10213]: DEBUG   Ignoring creation of /var/log/.fail2ban.log.swp we do not monitor
2019-08-20 22:00:08,952 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:08,953 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:08,954 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327608 and ip:192.168.1.166
2019-08-20 22:00:08,972 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:08
2019-08-20 22:00:08,973 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 36. Current failures from 1 IPs (IP:count): 192.168.1.166:1
2019-08-20 22:00:10,142 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:10,142 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:10,143 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327610 and ip:192.168.1.166
2019-08-20 22:00:10,144 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:10
2019-08-20 22:00:10,144 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 37. Current failures from 1 IPs (IP:count): 192.168.1.166:2
2019-08-20 22:00:11,117 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:11,118 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:11,119 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327611 and ip:192.168.1.166
2019-08-20 22:00:11,119 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:11
2019-08-20 22:00:11,119 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 38. Current failures from 1 IPs (IP:count): 192.168.1.166:3
2019-08-20 22:00:11,953 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:11,954 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:11,954 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327611 and ip:192.168.1.166
2019-08-20 22:00:11,954 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:11
2019-08-20 22:00:11,955 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 39. Current failures from 1 IPs (IP:count): 192.168.1.166:4
2019-08-20 22:00:12,834 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:12,835 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:12,836 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327612 and ip:192.168.1.166
2019-08-20 22:00:12,836 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:12
2019-08-20 22:00:12,836 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 40. Current failures from 1 IPs (IP:count): 192.168.1.166:5
2019-08-20 22:00:13,060 fail2ban.actions        [10213]: NOTICE  [owncloud] Ban 192.168.1.166
2019-08-20 22:00:13,060 fail2ban.actions        [10213]: DEBUG   Banned 1 / 5, 1 ticket(s) in 'owncloud'
2019-08-20 22:00:13,804 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:13,805 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:13,806 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327613 and ip:192.168.1.166
2019-08-20 22:00:13,806 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:13
2019-08-20 22:00:13,807 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 41. Current failures from 1 IPs (IP:count): 192.168.1.166:1
2019-08-20 22:00:14,730 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:14,730 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:14,731 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327614 and ip:192.168.1.166
2019-08-20 22:00:14,731 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:14
2019-08-20 22:00:14,731 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 42. Current failures from 1 IPs (IP:count): 192.168.1.166:2
2019-08-20 22:00:15,776 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:15,777 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:15,778 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327615 and ip:192.168.1.166
2019-08-20 22:00:15,778 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:15
2019-08-20 22:00:15,778 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 43. Current failures from 1 IPs (IP:count): 192.168.1.166:3
2019-08-20 22:00:16,710 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:00:16,711 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:00:16,711 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566327616 and ip:192.168.1.166
2019-08-20 22:00:16,712 fail2ban.filter         [10213]: INFO    [owncloud] Found 192.168.1.166 - 2019-08-20 22:00:16
2019-08-20 22:00:16,712 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 44. Current failures from 1 IPs (IP:count): 192.168.1.166:4
2019-08-20 22:00:18,958 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 48
2019-08-20 22:00:18,958 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x100 name=.fail2ban.log.swp wd=1 >
2019-08-20 22:00:18,959 fail2ban.filterpyinotify[10213]: DEBUG   Ignoring creation of /var/log/.fail2ban.log.swp we do not monitor
2019-08-20 22:00:18,959 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 48
2019-08-20 22:00:18,959 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x100 name=.fail2ban.log.swp wd=1 >
2019-08-20 22:00:18,959 fail2ban.filterpyinotify[10213]: DEBUG   Ignoring creation of /var/log/.fail2ban.log.swp we do not monitor
2019-08-20 22:00:19,416 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 48
2019-08-20 22:00:19,417 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x100 name=.fail2ban.log.swp wd=1 >
2019-08-20 22:00:19,417 fail2ban.filterpyinotify[10213]: DEBUG   Ignoring creation of /var/log/.fail2ban.log.swp we do not monitor
2019-08-20 22:01:02,502 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:01:02,502 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >

Написано более трёх лет назад

arbrspb @arbrspb Автор вопроса

Вот на примере webmin срабатывает action и банит

2019-08-20 22:29:37,289 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566329377.0 and ip:192.168.1.166
2019-08-20 22:29:37,289 fail2ban.filter         [10213]: INFO    [webmin-auth] Found 192.168.1.166 - 2019-08-20 22:29:37
2019-08-20 22:29:37,289 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 15. Current failures from 1 IPs (IP:count): 192.168.1.166:1
2019-08-20 22:29:37,290 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:37,290 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:38,892 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:38,892 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:38,893 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566329378.0 and ip:192.168.1.166
2019-08-20 22:29:38,894 fail2ban.filter         [10213]: INFO    [webmin-auth] Found 192.168.1.166 - 2019-08-20 22:29:38
2019-08-20 22:29:38,895 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 16. Current failures from 1 IPs (IP:count): 192.168.1.166:2
2019-08-20 22:29:38,900 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:38,900 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:41,599 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:41,600 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:41,602 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566329381.0 and ip:192.168.1.166
2019-08-20 22:29:41,602 fail2ban.filter         [10213]: INFO    [webmin-auth] Found 192.168.1.166 - 2019-08-20 22:29:41
2019-08-20 22:29:41,603 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 17. Current failures from 1 IPs (IP:count): 192.168.1.166:3
2019-08-20 22:29:41,606 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:41,607 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:43,316 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:43,317 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:43,318 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566329383.0 and ip:192.168.1.166
2019-08-20 22:29:43,318 fail2ban.filter         [10213]: INFO    [webmin-auth] Found 192.168.1.166 - 2019-08-20 22:29:43
2019-08-20 22:29:43,318 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 18. Current failures from 1 IPs (IP:count): 192.168.1.166:4
2019-08-20 22:29:43,319 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:43,319 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:46,022 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:46,023 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:46,024 fail2ban.filterpyinotify[10213]: DEBUG   Event queue size: 16
2019-08-20 22:29:46,025 fail2ban.filterpyinotify[10213]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >
2019-08-20 22:29:46,026 fail2ban.filter         [10213]: DEBUG   Processing line with time:1566329385.0 and ip:192.168.1.166
2019-08-20 22:29:46,027 fail2ban.filter         [10213]: INFO    [webmin-auth] Found 192.168.1.166 - 2019-08-20 22:29:45
2019-08-20 22:29:46,028 fail2ban.failmanager    [10213]: DEBUG   Total # of detected failures: 19. Current failures from 1 IPs (IP:count): 192.168.1.166:5
2019-08-20 22:29:46,417 fail2ban.actions        [10213]: NOTICE  [webmin-auth] Ban 192.168.1.166
2019-08-20 22:29:46,418 fail2ban.action         [10213]: DEBUG   iptables -w -n -L INPUT | grep -q 'f2b-webmin-auth[ \t]'
2019-08-20 22:29:46,431 fail2ban.utils          [10213]: DEBUG   7f3280727570 -- returned successfully 0

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+2 ещё

Простой
Почему некоторые сайты не открываются в Google Chrome?
- 1 подписчик
- 22 часа назад
- 683 просмотра
3

ответа
Linux

+2 ещё

Простой
Почему некорректно работает OpenGL?
- 1 подписчик
- 22 часа назад
- 111 просмотров
2

ответа
Linux

+2 ещё

Средний
Как обнаружить высокое потребление CPU?
- 1 подписчик
- вчера
- 125 просмотров
3

ответа
Linux

+1 ещё

Средний
Как направить трафик с одного интерфейса на другой?
- 3 подписчика
- 20 дек.
- 977 просмотров
1

ответ
Linux

+2 ещё

Средний
Как превратить ПК с Linux и прокси в точку доступа Wi-Fi?
- 2 подписчика
- 20 дек.
- 187 просмотров
2

ответа
Linux

+3 ещё

Средний
Как запустить chrome при автотесте в kotlin+selenium, ошибка: Could not start a new session. Response code 500. Message?
- 1 подписчик
- 20 дек.
- 49 просмотров
0

ответов
Linux

+2 ещё

Простой
Полноценная Убунта поверх WSL?
- 3 подписчика
- 19 дек.
- 1040 просмотров
6

ответов
Linux

+2 ещё

Простой
Автоматизация эмулятора android под windows и linux: что лучше?
- 1 подписчик
- 19 дек.
- 135 просмотров
1

ответ
Linux

+1 ещё

Простой
Почему игры нельзя контейнеризировать?
- 2 подписчика
- 19 дек.
- 529 просмотров
4

ответа
Linux

+2 ещё

Простой
Как настроить iptables, чтобы сайт с гостевой машины находил сам себя?
- 2 подписчика
- 19 дек.
- 89 просмотров
0

ответов
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный администратор Linux

ГК «Finbridge» • Ростов-на-Дону

от 180 000 до 220 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Собрать из исходного кода и запустить в докере рабочее приложение с бд

22 дек. 2024, в 22:57

500 руб./за проект

Аппликация для фильтра заказов

22 дек. 2024, в 20:40

10000 руб./за проект

Расширение для Google Chrome

22 дек. 2024, в 20:34

3000 руб./за проект

Смотрите в логах owncloud. Есть ли там записи, соответствующие регулярному выражению
failregex = {"reqId":".*","level":2,"time":".*","remoteAddr":".*","user":"--","app":"core","method":".*","message":"Login failed: '.*' $Remote IP: ''$"}

По крайней мере, строчку "Login failed" поищите.
Логирование идёт в общий syslog или в отдельный файл?

Answer 1 · 2019-08-19 16:20:55

Ну, в доке самого ownCloud есть несколько иное правило для fail2ban:
ownCloud & fail2ban

[Definition]
failregex={.*Login failed: \'.*\' \(Remote IP: \'<HOST>\'\)"}
ignoreregex =

Почему fail2ban не банит ip при неправильном логине/пароле в owncloud?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт