welinux.ru / Есть вопрос! — fail2ban, pureftpd, freebsd 8.1

randomtoy 28.01.2011 11:22

Есть вопрос! — fail2ban, pureftpd, freebsd 8.1 - не работают jail

Поднял вообщем то fail2ban на сервере, и столкнулся с проблемой

создал в jail.conf правило для pure-ftpd

<pure-ftpd>
enabled = true
action = ipfw<localhost>
filter = pureftpd
logpath = /var/log/xferlog
maxretry = 1
bantime = 86400
</localhost></pure-ftpd>

в filter.d/pureftpd.conf
сложил regexp

<definition>
__errmsg = (?:Authentication failed for user|Erreur d'authentification pour l'utilisateur)
failregex = pure-ftpd: \(\?@<HOST>\) \<warning> %(__errmsg)s \<.+\>$
ignoreregex =</warning></definition>

fail2ban-regex отрабатывает

# fail2ban-regex /var/log/xferlog /usr/local/etc/fail2ban/filter.d/pureftpd.conf 
/usr/local/lib/python2.6/site-packages/server/filter.py:442: DeprecationWarning: the md5 module is deprecated; use hashlib instead
  import md5

Running tests
=============

Use regex file : /usr/local/etc/fail2ban/filter.d/pureftpd.conf
Use log file   : /var/log/xferlog


Results
=======

Failregex
|- Regular expressions:
|  <1> pure-ftpd: \(\?@<HOST>\) \<warning> (?:Authentication failed for user|Erreur d'authentification pour l'utilisateur) \<.+\>$
|
`- Number of matches:
   <1> 87 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:
</warning>

но вот сам сервер в банлист не добавляет. в логах только

1 2	2011-01-28 09:28:24,108 fail2ban.filter : DEBUG /var/log/xferlog has been modified 2011-01-28 09:28:24,108 fail2ban.filter.datedetector: DEBUG Sorting the template list

Подскажите, люди добрые, куда смотреть, запарился уже

Тэги: file2ban freebsd 8.1

+ 2 -

Похожие

wiz 28.01.2011 15:10 #

+ 0 -

Что за банлист куда он должен что-то добавлять?

randomtoy 28.01.2011 16:01 # ↑

+ 0 -

ну вообще то он добавляет найденные ip в свой jail-лист. В логах выглядит примерно так

2011-01-27 23:14:21,760 fail2ban.filter : DEBUG /var/log/messages has been modified

        2011-01-27 23:14:21,771 fail2ban.filter : DEBUG Found 178.141.104.192

        2011-01-27 23:14:21,771 fail2ban.filter.datedetector: DEBUG Sorting the template list

        2011-01-27 23:14:22,761 fail2ban.actions: WARNING Ban 178.141.104.192

и в статусе у него видим что-то похожее

# fail2ban-client status pureftpd

        Status for the jail: pureftpd

        |- filter

        | |- File list: /var/log/messages

        | |- Currently failed: 0

        | `- Total failed: 1

        `- action

        |- Currently banned: 1

        | `- IP list: 178.141.104.192

        `- Total banned: 1

и на одном сервере эти конфиги отрабатываются на ура. А вот на втором сервере затык.

Я конечно подозреваю, что за давностью лет, мог где-то что-то в настройке позабыть, но никак не могу вспомнить, что именно, и где грабли

wiz 28.01.2011 16:26 # ↑

+ 0 -

Так... а в чём тогда проблема?

randomtoy 28.01.2011 16:39 # ↑

+ 0 -

вот и я не знаю в чем проблема. два одинаковых конфига на двух серверах. на одном работает, на другом нет.

в логах fail2ban пусто. Один из серверов просто ничего не добавляет в свои jail-листы.

cppmm 28.01.2011 20:10 #

+ 0 -

Лог ftp-сервера нужно посмотреть.
А если точнее, проверить на правильность regexp. Может просто в разных версиях что-то изменилось в формате лога?

randomtoy 28.01.2011 20:12 # ↑

+ 0 -

я об этом же подумал вначале.

но проверка fail2ban-regex нормально отрабатывает, и хосты находятся

cppmm 28.01.2011 20:22 # ↑

+ 0 -

А точно. Провтыкал я что-то.