¿Cómo configurar fail2ban con systemd journal?

10

Lo fail2baninstalé en el contenedor Debian Jessie LXC, actualmente falla debido a:

Starting authentication failure monitor: fail2ban
ERROR  No file(s) found for glob /var/log/auth.log
ERROR  Failed during configuration: Have not found any log file for ssh jail

No hay syslogo rsyslogen el sistema y, por lo tanto, /var/log/auth.logno se genera. ¿Hay alguna manera de saber cómo fail2banusar la salida de journalctl _COMM=sshd?

fail2ban systemd-journald Tombart
fuente

Respuestas:

11

Para sistemas systemd:

Debe especificar el back-end /etc/fail2ban/jail.confpara usarlo de la systemdsiguiente manera:

backend = systemd

Luego reinicie fail2ban:

systemctl restart fail2ban

Editar:

Soy un tipo pesado de CentOS / RHEL / Fedora, por lo que es posible que tenga que adaptar un poco lo que digo. En cuanto a esta respuesta, es posible que deba actualizar el paquete fail2ban a una versión que admita systemd como back-end o deberá instalar rsyslogy agregar lo siguiente a su /etc/rsyslog.conf:

authpriv.*      /var/log/auth.log

Esto asegurará que los registros de autenticación de sshd se registren, /var/log/auth.logque serán leídos por el pyinotifybackend predeterminado en fail2ban:


fuente
systemdla opción no parece ser compatible con fail2ban 0.8.13:fail2banERROR NOK: ("Unknown backend systemd. Must be among ['pyinotify', 'gamin', 'polling'] or 'auto'",)
Tombart
@Tombart ¿Qué versión de Debian está ejecutando? Parece que necesita un paquete de fail2ban actualizado que admita el backend del sistemad O puede instalar rsyslog y agregar la configuración correcta a su rsyslog.conf
Es la última versión de Debian 8 Jessie que viene con systemdsoporte.
Tombart el
@MatthewSanabria, ¿ have to install rsyslogpor qué en centos?
kittygirl
2

Necesitará fail2ban versión 0.9.0 que puede admitir systemd, mientras que Debian Jessie tiene 0.8.3 en el repositorio.

Intente descargar e instalar desde las fuentes, o busque repositorios alternativos.

Saludos.

Tim Connor
fuente
1

Tengo el mismo problema. En lugar de resolverlo, terminé reinstalando syslogd para generar los archivos de registro.

apt-get install inetutils-syslogd

El archivo de registro puede demorar unos minutos después de la instalación. Se creará cuando se agregue una entrada de registro.

No lo recomendaría a largo plazo (ya que en realidad no soluciona el problema), pero si desea que fail2ban funcione de inmediato, hace el trabajo.

Glen Davies
fuente
0

Hay un problema con los archivos de configuración.

Tuve jail.conf y jail.d/defaults-debian.conf

El contenido de este último fue:

[sshd]
enabled = true

Debido a backend no están estableciendo aquí el valor por defecto se utiliza en lugar de la de jail.conf. El problema se describe en detalle aquí: https://github.com/fail2ban/fail2ban/issues/1372

agregar backend = systemdhizo el truco.

defaults-debian.conf

[sshd]
enabled = true
backend = systemd
southz rgw
fuente