我遇到了Fail2Ban的问题
2018-02-23 18:23:48,727 fail2ban.datedetector [4859]: DEBUG Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2018-02-23 18:23:48,727 fail2ban.datedetector [4859]: DEBUG Got time 1519352628.000000 for "'Feb 23 10:23:48'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2018-02-23 18:23:48,727 fail2ban.filter [4859]: DEBUG Processing line with time:1519352628.0 and ip:158.140.140.217
2018-02-23 18:23:48,727 fail2ban.filter [4859]: DEBUG Ignore line since time 1519352628.0 < 1519381428.727771 - 600
它说&#34;忽略Line&#34;因为时间偏差大于检查周期。但事实并非如此。
如果确实1519352628.0来自2月23日,10:23:48,那么另一个日期:1519381428.727771必定是错误的。
我已经对“无效用户”进行了测试。反复打这个。但是Fail2ban总是忽略这条线。
我很肯定我在1秒内获得过滤匹配。
这是Ubuntu 16.04和Fail2ban 0.9.3
感谢您的帮助!
答案 0 :(得分:0)
您的计算机上似乎存在可能导致混淆的时区问题。 尝试set the correct time zone并重新启动rsyslogd和fail2ban。
关于调试日志:
1519352628.0 = Feb 23 02:23:48
- &GT;时间戳从日志文件中的行解析时间2月23日10:23:48 - 08:00时区偏移!
1519381428.727771 = Feb 23 10:23:48
- &GT; fail2ban处理日志时的当前时间的时间戳。
巧妙地,这与日志文件中的时间相同。 这就是让它在这种情况下如此混乱的原因。
1519381428.727771 - 600 = Feb 23 10:13:48
- &GT;因为您在jail.conf中设置了findtime = 10m
,所以限制了在日志文件中向后查看的时间。
Fail2ban'正确'忽略看似超过10分钟的日志条目,因为设置了时区-08:00。
btw:
如果您需要IPv6支持禁止,请考虑将fail2ban升级到v0.10.x。
还有一个全新的fail2ban版本v0.11(尚未标记为稳定版,但在我的机器上运行1个月没有问题),具有这种全新的自动增量bantime功能。