[Sysadmins] Fail2ban не ловит мышей.

[Sysadmins] Fail2ban не ловит мышей.

[Dmitriy Kruglikov]

Доброго времени суток, уважаемые.

Столкнулся с проблемкой.

Есть fail2ban, есть лог, есть правило...

[lighttpd-bot]

enabled  = true
filter   = lighttpd-404
logpath  = /var/lib/vz/root/220/var/log/lighttpd/access.log
action   = iptables-allports[name=LigHTTPd]
           sendmail[name=LigHTTPd, dest=monit_alert@turbosms.ua,
sender=fail2ban_on_colocation@turbosms.ua]
bantime  = 3600
findtime = 60
maxretry = 5

В lighttpd-404 прописано
failregex = ^<HOST> -.*"(GET|POST).* HTTP\/.*" .* 404 .*$

fail2ban-regex /var/lib/vz/root/220/var/log/lighttpd/access.log
/etc/fail2ban/filter.d/lighttpd-404.conf

среди прочего сообщает о том, что Success, the total number of match is 176

Например
    174.143.169.191 (Wed Sep 19 14:01:31 2012)
    174.143.169.191 (Wed Sep 19 14:01:31 2012)
    174.143.169.191 (Wed Sep 19 14:01:31 2012)
    174.143.169.191 (Wed Sep 19 14:01:32 2012)
    174.143.169.191 (Wed Sep 19 14:01:32 2012)
    174.143.169.191 (Wed Sep 19 14:01:32 2012)
за минуту 6 обращений, соответствующих правилу, но факта блокировки нет.
Пробовал как backend = polling, так и backend = gamin

Вопос: Где я протупил, почему не работает блокировка?

P.S.
fail2ban-0.8.4-alt4.1.1


-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Sysadmins] Fail2ban не ловит мышей.

[Anton Kvashin]

20.09.2012 14:24, Dmitriy Kruglikov пишет:
> Есть fail2ban, есть лог, есть правило...
>
> [lighttpd-bot]
>
> enabled  = true
> filter   = lighttpd-404
> logpath  = /var/lib/vz/root/220/var/log/lighttpd/access.log
> action   = iptables-allports[name=LigHTTPd]
>             sendmail[name=LigHTTPd, dest=monit_alert@turbosms.ua,
> sender=fail2ban_on_colocation@turbosms.ua]
> bantime  = 3600
> findtime = 60
> maxretry = 5
>
> В lighttpd-404 прописано
> failregex = ^<HOST> -.*"(GET|POST).* HTTP\/.*" .* 404 .*$
>...
> за минуту 6 обращений, соответствующих правилу, но факта блокировки нет.
> Пробовал как backend = polling, так и backend = gamin
>
> Вопос: Где я протупил, почему не работает блокировка?

А что там в iptables, ip попадает в цепочки?

-- 
Anton Kvashin

Re: [Sysadmins] Fail2ban не ловит мышей.

[Dmitriy Kruglikov]

20 сентября 2012 г., 12:39 пользователь Anton Kvashin  написал:

> А что там в iptables, ip попадает в цепочки?

# iptables-save | grep fail2ban
:fail2ban-LigHTTPd - [0:0]
-A INPUT -j fail2ban-LigHTTPd
-A fail2ban-LigHTTPd -j RETURN

ip не попадает в цепочки. В логах fail2ban нет ни каких записей о
факте срабатывания правила.
Такое впечатление, что fail2ban не следит за логом.
Хотя, в логе  fail2ban есть упоминания о том, что
2012-09-20 12:07:50,918 fail2ban.filter : DEBUG
/var/lib/vz/root/220/var/log/lighttpd/access.log has been modified
2012-09-20 12:07:50,918 fail2ban.filter : DEBUG  Found 91.197.218.6
2012-09-20 12:07:50,918 fail2ban.filter.datedetector: DEBUG  Sorting
the template list



-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Sysadmins] Fail2ban не ловит мышей.

[Anton Kvashin]

20.09.2012 16:08, Dmitriy Kruglikov пишет:
> 20 сентября 2012 г., 12:39 пользователь Anton Kvashin  написал:
>
>> А что там в iptables, ip попадает в цепочки?
>
> # iptables-save | grep fail2ban
> :fail2ban-LigHTTPd - [0:0]
> -A INPUT -j fail2ban-LigHTTPd
> -A fail2ban-LigHTTPd -j RETURN
>
> ip не попадает в цепочки. В логах fail2ban нет ни каких записей о
> факте срабатывания правила.
> Такое впечатление, что fail2ban не следит за логом.
> Хотя, в логе  fail2ban есть упоминания о том, что
> 2012-09-20 12:07:50,918 fail2ban.filter : DEBUG
> /var/lib/vz/root/220/var/log/lighttpd/access.log has been modified
> 2012-09-20 12:07:50,918 fail2ban.filter : DEBUG  Found 91.197.218.6
> 2012-09-20 12:07:50,918 fail2ban.filter.datedetector: DEBUG  Sorting
> the template list

Можно попробовать на другом сервисе, например, ssh. Т.е. с коробочными 
failregex.

-- 
Anton Kvashin

Re: [Sysadmins] Fail2ban не ловит мышей.

[Dmitriy Kruglikov]

20 сентября 2012 г., 11:24 пользователь Dmitriy Kruglikov написал:
Отбой тревоги пока...

> Пробовал как backend = polling, так и backend = gamin
Как показала практика и медитация над логами, backend = polling работает,
а backend = gamin не работает.
При этом, backend = auto подразумевает gamin и не работает, даже если
последний установлен,
хотя по зависимостям не ставится.

Тянет на баг, вообще-то.

Кроме того, пришлось исправить немного action iptables-allports.
Так как блокируем все порты, то передачу лишних параметров оторвал и
прописал явно в строке.

Ночью отловило первого, помониторю еще...




-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Sysadmins] Fail2ban не ловит мышей.

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 538 bytes --]

On Fri, Sep 21, 2012 at 09:02:06AM +0300, Dmitriy Kruglikov wrote:

DK> Как показала практика и медитация над логами, backend = polling работает,
DK> а backend = gamin не работает.
DK> При этом, backend = auto подразумевает gamin и не работает, даже если
DK> последний установлен,
DK> хотя по зависимостям не ставится.
DK> Тянет на баг, вообще-то.

Сможешь выяснить кто глючит -- gamin или fail2ban?

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] Fail2ban не ловит мышей.

[Dmitriy Kruglikov]

26 сентября 2012 г., 14:43 пользователь Денис Смирнов  написал:

> Сможешь выяснить кто глючит -- gamin или fail2ban?

Скорее всего, да...


-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Sysadmins] Fail2ban не ловит мышей.

[Евгений Терешков]

Денис Смирнов пишет:

> DK> Как показала практика и медитация над логами, backend = polling работает,
> DK> а backend = gamin не работает.
> DK> При этом, backend = auto подразумевает gamin и не работает, даже если
> DK> последний установлен,
> DK> хотя по зависимостям не ставится.
> DK> Тянет на баг, вообще-то.
> Сможешь выяснить кто глючит -- gamin или fail2ban?

gamin. Судя по результатам послесборочного тестирования, он нерабочий чуть
менее, чем совсем.

-- 
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru

Re: [Sysadmins] Fail2ban не ловит мышей.

[Dmitriy Kruglikov]

29 сентября 2012 г., 21:44 пользователь Евгений Терешков написал:

> gamin. Судя по результатам послесборочного тестирования, он нерабочий чуть
> менее, чем совсем.

В режиме backend = auto, fail2ban считает, что gamin рулит.

Для справок:
комплект из
libgamin-fam-0.1.10-alt5.1
python-module-gamin-0.1.10-alt5.1
libgamin-0.1.10-alt5.1
gamin-0.1.10-alt5.1
fail2ban-0.8.4-alt4.1.1
всё работает,
а комплект
libgamin-0.1.10-alt5.2
libgamin-fam-0.1.10-alt5.2
python-module-gamin-0.1.10-alt5.2
gamin-0.1.10-alt5.2
fail2ban-0.8.4-alt4.1.1
уже нет.

Кого вешаем?
-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Sysadmins] Fail2ban не ловит мышей.

[Денис Смирнов]

On Sun, Sep 30, 2012 at 11:59:27AM +0300, Dmitriy Kruglikov wrote:

DK> Для справок:
DK> комплект из
DK> libgamin-0.1.10-alt5.1
DK> libgamin-0.1.10-alt5.2


https://bugs.launchpad.net/ubuntu/+source/gamin/+bug/926862

Это не оно? Там даже патч есть.

https://launchpadlibrarian.net/109402012/gamin_0.1.10-4ubuntu0.1.debdiff

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

Re: [Sysadmins] Fail2ban не ловит мышей.

[Денис Смирнов]

On Sun, Sep 30, 2012 at 02:44:32AM +0800, Евгений Терешков wrote:

>> Сможешь выяснить кто глючит -- gamin или fail2ban?
> gamin. Судя по результатам послесборочного тестирования, он нерабочий чуть
> менее, чем совсем.

https://launchpadlibrarian.net/109402012/gamin_0.1.10-4ubuntu0.1.debdiff
не спасет?

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

Re: [Sysadmins] Fail2ban не ловит мышей.

[Евгений Терешков]

Dmitriy Kruglikov пишет:

>> gamin. Судя по результатам послесборочного тестирования, он нерабочий чуть
>> менее, чем совсем.
> В режиме backend = auto, fail2ban считает, что gamin рулит.

Код применяет метод gamin если успехом закончился питоновый код 'import
gamin', что ничего не говорит о работоспособности.

> Для справок:
> комплект из
> libgamin-fam-0.1.10-alt5.1
> python-module-gamin-0.1.10-alt5.1
> libgamin-0.1.10-alt5.1
> gamin-0.1.10-alt5.1
> fail2ban-0.8.4-alt4.1.1
> всё работает,
> а комплект
> libgamin-0.1.10-alt5.2
> libgamin-fam-0.1.10-alt5.2
> python-module-gamin-0.1.10-alt5.2
> gamin-0.1.10-alt5.2
> fail2ban-0.8.4-alt4.1.1
> уже нет.

Не уверен. Я тоже откатился до alt5.1. Не работает. Ядро какое?

-- 
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru

Re: [Sysadmins] Fail2ban не ловит мышей.

[Dmitriy Kruglikov]

30 сентября 2012 г., 13:24 пользователь Евгений Терешков  написал:

> Код применяет метод gamin если успехом закончился питоновый код 'import
> gamin', что ничего не говорит о работоспособности.
Это понятно...

> Не уверен. Я тоже откатился до alt5.1. Не работает. Ядро какое?
Там, где работает gamin, 2.6.32-ovz-el-alt22.
Там. где не работает, 2.6.32-ovz-el-alt73


-- 
Best regards,
 Dmitriy Kruglikov.

Re: [Sysadmins] Fail2ban не ловит мышей.

[Евгений Терешков]

[-- Attachment #1: Type: text/plain, Size: 922 bytes --]

Денис Смирнов пишет:

>>> Сможешь выяснить кто глючит -- gamin или fail2ban?
>> gamin. Судя по результатам послесборочного тестирования, он нерабочий чуть
>> менее, чем совсем.
> https://launchpadlibrarian.net/109402012/gamin_0.1.10-4ubuntu0.1.debdiff
> не спасет?

Нет. ИМХО, его стоит приложить хотя бы потому, что он чинит зависание
тестов питоновых привязок, но работать от этого gamin не начинает (см.
приложенный кусок лога, касающийся послесборочного тестирования). Надо
будет ещё покопаться...

<#part
type="application/octet-stream" filename="~/gamin_build.log"
disposition=attachment>

[-- Attachment #2: Type: text/plain, Size: 109 bytes --]

-- 
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru