Como configurar o fail2ban com o diário systemd?

10

Eu tenho instalar fail2banno recipiente Debian Jessie LXC, atualmente ele está falhando devido a:

Starting authentication failure monitor: fail2ban
ERROR  No file(s) found for glob /var/log/auth.log
ERROR  Failed during configuration: Have not found any log file for ssh jail

Não existe syslogou existe rsyslogno sistema e, portanto, /var/log/auth.lognão é gerado. Existe uma maneira de dizer fail2banpara usar a saída de journalctl _COMM=sshd?

fail2ban systemd-journald Tombart
fonte

Respostas:

11

Para sistemas systemd:

Você deve especificar o back-end /etc/fail2ban/jail.confpara usar da systemdseguinte maneira:

backend = systemd

Em seguida, reinicie o fail2ban:

systemctl restart fail2ban

Editar:

Eu sou um cara pesado do CentOS / RHEL / Fedora, então você pode ter que adaptar um pouco o que eu digo. Quanto a esta resposta, talvez você precise atualizar o pacote fail2ban para uma versão que suporte systemd como back-end ou precisará instalar rsysloge adicionar o seguinte ao seu /etc/rsyslog.conf:

authpriv.*      /var/log/auth.log

Isso garantirá que os logs de autenticação sshd estejam registrados no /var/log/auth.logqual serão lidos pelo pyinotifyback-end padrão em fail2ban:


fonte
systemdopção não parece ser suportada por fail2ban 0.8.13:fail2banERROR NOK: ("Unknown backend systemd. Must be among ['pyinotify', 'gamin', 'polling'] or 'auto'",)
Tombart 7/17
@Tombart Qual versão do Debian você está executando? Parece que você precisa de um pacote de fail2ban atualizado que suporta os backend systemd ou você pode instalar rsyslog e adicionar a configuração correta para o seu rsyslog.conf
É a versão mais recente do Debian 8 Jessie que vem com systemdsuporte.
Tombart
@MatthewSanabria, por que have to install rsyslogem centos?
kittyGirl
2

Você precisará do fail2ban versão 0.9.0, que pode suportar o systemd, enquanto o Debian Jessie possui o 0.8.3 no repositório.

Tente baixar e instalar a partir de fontes ou procure os repositórios alternativos.

Saudações.

Tim Connor
fonte
1

Eu tenho o mesmo problema. Em vez de descobrir, acabei reinstalando o syslogd para gerar o (s) arquivo (s) de log.

apt-get install inetutils-syslogd

Pode demorar alguns minutos após a instalação para o arquivo de log ser criado - Ele será criado quando uma entrada de log for adicionada.

Eu não recomendaria isso a longo prazo (como na verdade não soluciona o problema), mas se você deseja que o fail2ban funcione imediatamente, ele faz o trabalho.

Glen Davies
fonte
0

Há um problema com os arquivos de configuração.

Eu tinha o jail.conf e jail.d/defaults-debian.conf

O conteúdo deste último era:

[sshd]
enabled = true

Devido ao fato de o back-end não ser definido aqui, o valor padrão é usado em vez do valor in jail.conf. O problema está descrito em detalhes aqui: https://github.com/fail2ban/fail2ban/issues/1372

adicionando backend = systemdfez o truque.

defaults-debian.conf

[sshd]
enabled = true
backend = systemd
southz rgw
fonte