Fail2Ban没有在Ubuntu 16.04上工作(日期问题)

时间:2018-02-23 10:41:42

标签: fail2ban

我遇到了Fail2Ban的问题

2018-02-23 18:23:48,727 fail2ban.datedetector   [4859]: DEBUG   Matched time     template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2018-02-23 18:23:48,727 fail2ban.datedetector   [4859]: DEBUG   Got time  1519352628.000000 for "'Feb 23 10:23:48'" using template (?:DAY )?MON Day     24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2018-02-23 18:23:48,727 fail2ban.filter         [4859]: DEBUG   Processing line with time:1519352628.0 and ip:158.140.140.217
2018-02-23 18:23:48,727 fail2ban.filter         [4859]: DEBUG   Ignore line since time 1519352628.0 < 1519381428.727771 - 600

它说&#34;忽略Line&#34;因为时间偏差大于检查周期。但事实并非如此。

如果确实1519352628.0来自2月23日,10:23:48,那么另一个日期:1519381428.727771必定是错误的。

我已经对“无效用户”进行了测试。反复打这个。但是Fail2ban总是忽略这条线。

我很肯定我在1秒内获得过滤匹配。

这是Ubuntu 16.04和Fail2ban 0.9.3

感谢您的帮助!

1 个答案:

答案 0 :(得分:0)

您的计算机上似乎存在可能导致混淆的时区问题。 尝试set the correct time zone并重新启动rsyslogdfail2ban

关于调试日志:

1519352628.0      = Feb 23 02:23:48

- &GT;时间戳从日志文件中的行解析时间2月23日10:23:48 - 08:00时区偏移

1519381428.727771 = Feb 23 10:23:48 

- &GT; fail2ban处理日志时的当前时间的时间戳。

巧妙地,这与日志文件中的时间相同。 这就是让它在这种情况下如此混乱的原因

1519381428.727771 - 600 = Feb 23 10:13:48

- &GT;因为您在jail.conf中设置了findtime = 10m,所以限制了在日志文件中向后查看的时间。

Fail2ban'正确'忽略看似超过10分钟的日志条目,因为设置了时区-08:00。

btw:

如果您需要IPv6支持禁止,请考虑将fail2ban升级到v0.10.x。

还有一个全新的fail2ban版本v0.11(尚未标记为稳定版,但在我的机器上运行1个月没有问题),具有这种全新的自动增量bantime功能。