Fail2Ban PyInotify & Logrotate

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
Neutrino_2003
Beiträge: 9
Registriert: 3. Okt 2012, 21:40

Fail2Ban PyInotify & Logrotate

Beitrag von Neutrino_2003 »

Hallo Zusammen :)

Ich habe nochmals ein kleines Problemchen:

Und zwar gibt es bei Fail2Ban, wenn er mit PyInotify als Backend betrieben wird den sog "Bug 833056" der sich darin auswirkt, das nach einem Logrotate Fail2ban nicht mehr bannt :/

Genaueres hier: https://bugzilla.redhat.com/show_bug.cgi?id=833056

In dies bin ich am WE reingetappt und hatte ein "wunderschönes" Mail.log mit viiiiiiiiiiiiiiiiiiiiiiieeeeeeeeeeeeeeeeeelen Einträgen, die mir ansonsten F2B erspart hätte. Nun habe ich mich schlauer gelesen und auf dieser Seite: http://www.mentby.com/leonard-den-ottol ... otate.html folgendes gefunden:

Code: Alles auswählen

# reload fail2ban after log rotation
        /usr/bin/fail2ban-client -x reload > /dev/null 
Das hab ich jetzt mal eingebaut in meine fail2ban Datei unter logrotate.d. Eine weitere Seite besagt, man könne auch unter postrotate direkt auf die logdatei verweisen, was aber bei mir nicht geht. Habe es vorhin getestet: VOR logrotate durch Fehleingaben einen apache-ban provoziert per Mobil-Phone. Dann Phone reconnected um mit frischer IP zuzugreifen, bis nach dem logrotate abgewartet und denselben Fehler erneut versucht, um den Ban zu provozieren -> Es wurde nicht mehr gebannt, wäre es ein Script gewesen, hätte man gut Passwort-Attacken laufen lassen können :(
Jetzt hab ich mal die Zeile mit dem reload eingebaut und werd mal kommende Nacht abwarten.

Aber: Gibt es da derzeit keine elegantere Möglichkeit? Ich mein, gut, wenn es derzeit NUR SO geht, muss man sich halt mit abfinden, aber hauptsache es geht überhaupt, weil ich mit "Polling" als Backend nicht so unbedingt zufrieden war. PyInotify geht scheins flotter. Bei Polling hatte ich dennoch öfters mal mehr Angriffe als es laut jail.conf, bzw. local hätten sein dürfen. Gamin kommt nicht in Frage, weil ich hardened-kernel verwende und diese Kernel doch schon eine ganze Ecke restricted sind... Es wird gar mittlerweile von gamin (Entwicklerseits) allg. abgeraten. (https://bugzilla.redhat.com/show_bug.cgi?id=658849)

Vielleicht weiß jemand von Euch ja mehr darüber, wär riesig :)

Antworten