Что такое «Найдено» в файле журнала Fail2Ban?

5138
nmax

У меня есть несколько экземпляров, подобных следующему в /var/log/fail2ban.log:

2015-12-27 14:31:21,949 fail2ban.filter [1020]: INFO [sshd] Found ###.###.###.###

(Где # заменяет разнообразие IP-адресов.)

В чем именно смысл этой записи журнала? В частности, что Foundобозначает?

Я искал здесь и http://www.fail2ban.org для объяснения файла журнала. Если я пропустил очевидный источник информации по этому вопросу, мои извинения - пожалуйста, укажите мне правильное направление.

Вот конфиг для FailRegex в /etc/fail2ban/filter.d/sshd.config:

failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$ ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$ ^%(__prefix_line)sFailed \S+ for .*? from <HOST>(?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(,$ ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$ ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because not in any group\s*$ ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$ ^%(__prefix_line)sReceived disconnect from <HOST>: 3: \S+: Auth fail$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because a group is listed in DenyGroups\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$ ^(?P<__prefix>%(__prefix_line)s)User .+ not allowed because account is locked<SKIPLINES>(?P=__prefix)(?:error: )?Received disconnect from$ ^(?P<__prefix>%(__prefix_line)s)Disconnecting: Too many authentication failures for .+? \[preauth\]<SKIPLINES>(?P=__prefix)(?:error: )?Co$ ^(?P<__prefix>%(__prefix_line)s)Connection from <HOST> port \d+(?: on \S+ port \d+)?<SKIPLINES>(?P=__prefix)Disconnecting: Too many authe$ ^%(__prefix_line)spam_unix\(sshd:auth\):\s+authentication failure;\s*logname=\S*\s*uid=\d*\s*euid=\d*\s*tty=\S*\s*ruser=\S*\s*rhost=<HOST$
14
в файле filter.d / sshd.conf какой у вас FailRegex? http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Filters Frank Thomas 8 лет назад 0
(Добавлен FailRegex в исходное сообщение.) nmax 8 лет назад 0
Согласно моим журналам 10: 1, ssh - любимый хакерский выбор. Вероятно, это один из них при подключении к вашей системе. У меня более 10000+ IP только для SSH. cybernard 8 лет назад 0
Есть ли в шаблоне filter.d / sshd.conf другие шаблоны регулярных выражений, содержащие слово «Найдено»? Frank Thomas 8 лет назад 0
Любопытно, что строка 'Found' не появляется в sshd.conf или в каком-либо файле в / etc / fail2ban. @cybernard Я определенно согласен; проблема в том, что fail2ban уже запрещает попытки ssh, и ssh на основе пароля отключен в системе (только ssh на основе ключа). nmax 8 лет назад 0
Сообщение «Found xxx.xxx.xxx.xxx» означает, что фильтр fail2ban обнаружил строку, соответствующую failregex, в указанном файле журнала фильтра / тюрьмы. minni 8 лет назад 0

1 ответ на вопрос

13
minni

Found xxx.xxx.xxx.xxxСообщение означает, что fail2ban фильтр нашел строку, которая соответствует failregex в данном фильтр / тюремный лог - файл.

Например, если журнал показывает 

2016-03-16 15:35:51,527 fail2ban.filter [1986]: INFO [sshd] Found 1.2.3.4 2016-03-16 15:35:51,817 fail2ban.filter [1986]: INFO [sshd] Found 1.2.3.4 2016-03-16 15:35:52,537 fail2ban.actions [1986]: NOTICE [sshd] Ban 1.2.3.4

Первые два Foundозначают, что IP-адрес 1.2.3.4 был найден 2 раза в данном журнале sshd (например, /var/log/auth.log) и что запись в файле журнала совпадает failregexс фильтром/etc/fail2ban/filter.d/sshd.conf

Поскольку я настроил бан после 2-х неудачных ssh-athmtps, 3-я строка показывает, что IP 1.2.3.4 был забанен после этих двух найденных случаев.

Как я узнал об этом:

В исходных кодах на python fail2ban (в Debian он есть /usr/lib/python3/dist-packages/fail2ban/) сделайте это:

cd /usr/lib/python3/dist-packages/fail2ban/  grep -r "\[%s\] Found" *

В файле python "server / filter.py" в строке 937 вы найдете соответствующую функцию журнала:

def processLineAndAdd(self, line, date=None): [..] logSys.info("[%s] Found %s" % (self.jail.name, ip)) [..]

Похожие вопросы