所以在我上一次 apt-get update&& apt-get upgrade&& apt-get dist-upgrade 我的Fail2Ban升级到0.9.5没有任何问题,我仔细检查了配置,但好像它已经不能用了。
以下是我/var/log/auth.log
中登录失败的一些日志Aug 30 03:39:02 ns3031426 sshd[25824]: Invalid user admin from xx.xxx.xxx.xxx port 45282
通常,fail2ban应该识别这样的尝试。我仔细检查了fail2ban日志,发现在该时间范围内没有注册。在网上搜索后,我发现了 fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf 命令。 我的问题是正则表达式不再识别失败的尝试。我总是得到这个结果:
Running tests
=============
Use failregex filter file : sshd, basedir: /etc/fail2ban
Use maxlines : 10
Use log file : /var/log/auth.log
Use encoding : ANSI_X3.4-1968
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [9739] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
`-
Lines: 9739 lines, 0 ignored, 0 matched, 9739 missed
[processed in 3.16 sec]
Missed line(s): too many to print. Use --print-all-missed to print all 9739 lines
这里有什么问题?我意识到我的日志也发生了变化。在我更新系统之前,日志没有关于端口的任何信息,在更新之后它会使用它记录端口。给出的例子:
Old logging: Aug 27 16:40:09 ns3031426 sshd[13245]: Invalid user oracle from xx.xxx.xxx.xxx
New logging: Aug 30 03:39:02 ns3031426 sshd[25824]: Invalid user admin from xx.xxx.xxx.xxx port 45282
感谢您的帮助。
答案 0 :(得分:0)
因此,结果是sshd日志的更改格式出现了一般性问题。您可以在此处找到状态: https://github.com/fail2ban/fail2ban/issues/1533
祝你好运