1 votos

Fail2ban (0.9.6-2) con pure-ftpd (1.0.46)

Estoy usando pureftpd y fail2ban, pero no está funcionando. Parece que es capaz de leer el registro, pero el fail2ban.filter evento no se activa. He investigado mucho acerca de todos los posibles problemas y ya he hecho un montón de cheques, pero no sé por qué esto no está funcionando. Voy a empezar a poner mis configs, y los registros de lo que hice. Antes, debo decir que ya tengo en el mismo maching ejecución de aceptar fail2ban en contra de un servidor apache y ssh. El problema sólo ocurre con pureftpd.:

en mi /etc/fail2ban/jail.local

[pureftpd]
enabled = true
port = 21
filter = pure-ftpd
logpath = /var/log/messages
backend = polling
maxretry = 5

He cambiado miles de veces (reiniciar fail2ban demonio, después de cada cambio de curso). Probados port = ftp en lugar de port = 21 parece tener el mismo resultado. He intentado utilizar backend = auto o la eliminación de backend declaración de... mismo resultado.

Mi /var/log/messages está recibiendo aceptar los intentos de inicio de sesión en el ftp, algunas líneas como ejemplo:

Aug  3 08:31:01 88a4998e8b37 pure-ftpd: (?@192.168.0.159) [INFO] New connection from 192.168.0.159
Aug  3 08:31:09 88a4998e8b37 pure-ftpd: (?@192.168.0.159) [WARNING] Authentication failed for user [testinguser]

Mi /etc/fail2ban/filter.d/pure-ftpd.conf:

[Definition]
__errmsg = Authentication failed for user
failregex = pure-ftpd: \(\?@<HOST>\) \[WARNING\] %(__errmsg)s \[.+\]$
ignoreregex =

He probado esta haciendo fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/pure-ftpd.conf y devuelve una gran cantidad de golpes, así que creo que está trabajando.

Yo también puse fail2ban en modo de depuración, y este es el registro mientras que un usuario se conecte y intenta entrar fallando:

2017-08-03 03:31:10,163 fail2ban.filterpoll     [4429]: DEBUG   /var/log/messages has been modified
2017-08-03 03:31:10,164 fail2ban.datedetector   [4429]: DEBUG   Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2017-08-03 03:31:10,165 fail2ban.datedetector   [4429]: DEBUG   Got time 1470231069.000000 for "'Aug  3 08:31:09'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2017-08-03 03:31:10,165 fail2ban.datedetector   [4429]: DEBUG   Sorting the template list
2017-08-03 03:31:10,166 fail2ban.datedetector   [4429]: DEBUG   Winning template: (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)? with 2 hits

Así es detectar el archivo está cambiando, pero el filtro no está activado. Por qué?

La comparación con mis otros fail2ban servicios (apache por ejemplo), me vi en los registros de una diferencia... cuando se trabaja en una de las líneas gusta de estos aparece en los registros:

2017-08-03 03:43:37,024 fail2ban.filterpoll     [4429]: DEBUG   /var/log/apache2/error.log has been modified
2017-08-03 03:43:37,025 fail2ban.datedetector   [4429]: DEBUG   Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2017-08-03 03:43:37,026 fail2ban.datedetector   [4429]: DEBUG   Got time 1501767816.000000 for "'Thu Aug 03 08:43:36.224686 2017'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2017-08-03 03:43:37,026 fail2ban.filter         [4429]: DEBUG   Processing line with time:1501767816.0 and ip:192.168.0.154
2017-08-03 03:43:37,027 fail2ban.filter         [4429]: INFO    [apache] Found 192.168.0.154

Por lo tanto, todo parece similar comprobación de los archivos... se pone el tiempo, pero nada se desencadena después de eso. ¿Qué puede estar pasando? Alguien con experiencia en esto antes? Gracias.

1voto

OscarAkaElvis Puntos 237

Está resuelto ahora. El problema era que la zona horaria era diferente dentro del contenedor que se configuró en el host. Lea este "problema equivocado" que puse en el github de fail2ban:

https://github.com/fail2ban/fail2ban/issues/1855#event-1195174858

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: