BrainyCP

Панель управления сервером
https://community.brainycp.com/

fail2ban не ловит proftpd

https://community.brainycp.com/viewtopic.php?f=6&t=4981

Страница 1 из 1

fail2ban не ловит proftpd

Добавлено: Сб фев 11, 2023 7:20 am
mesb
Приветствую.

centos7 и 1.0945 панель
В панели опции следить за демоном включены.
Однако по факту ничего не ловится.

Меня смущает это:

Код: Выделить всё

fail2ban-client status proftpd
Status for the jail: proftpd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- Journal matches:	
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list:
Сами регулярки отрабатывают судя по всему когда проверку делаешь:
fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/proftpd.conf --print-all-missed

Однако в результатах например:

Lines: 10 lines, 0 ignored, 0 matched, 10 missed


У сервиса ssh корректно указан лог за которым ему нужно следить, здесь же этого нет у proftpd.

Попытался через jail.conf перетащить у proftpd:
;backend = %(proftpd_backend)s
backend = polling

Нужный лог в выводе status появился, однако результата чото пока всёравно неочень.

Нельзя ли глянуть что происходит?

Re: fail2ban не ловит proftpd

Добавлено: Сб фев 11, 2023 8:00 am
mesb
Вобщем надеюсь конструкторы панели посмотрят можно ли сделать лучше, но стало понятночто у нас не работают фильтры.
Таким образом просто в разделе фейл2бан создаём свой кастом фильтр, например proftpd-custom1 c таким содержимым для конфигурации и сервиса:

Код: Выделить всё

[proftpd-custom1]
enabled = false
bantime = 600
port = ftp
filter = proftpd-custom1
logpath = /var/log/messages
maxretry = 4
findtime = 3600
И к нему фильтр:

Код: Выделить всё

# fail2ban filter for the ProFTPD FTP daemon
[INCLUDES]

before = common.conf

[Definition]

_daemon = proftpd

failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+\s*$
            \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\):.*\s+$
            \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \([0-9]+\) exceeded, connection refused.*\s+$
            \(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.\s+$
            \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded\s+$

ignoreregex =
Незабываем включить это флажочком нужным для нашего нового джейла, и вуаля, баны полетели пачками :)

Re: fail2ban не ловит proftpd

Добавлено: Пн фев 13, 2023 3:50 pm
alenka
Скорее всего структура логов в обновленном пакете proftpd поменялась, из за этого не работает фильтр.
Вы можете скопировать фильтр по пути /etc/fail2ban/filter.d/proftpd.conf,
И по этому пути /etc/brainy/packet_manager/fail2ban/filter/centos/proftpd.conf(срабатывает во время переустановки fail2ban)
Фильтры в панели поправим.

Re: fail2ban не ловит proftpd

Добавлено: Пн фев 13, 2023 5:31 pm
mesb
alenka писал(а):
Пн фев 13, 2023 3:50 pm
 Скорее всего структура логов в обновленном пакете proftpd поменялась, из за этого не работает фильтр.
Вы можете скопировать фильтр по пути /etc/fail2ban/filter.d/proftpd.conf,
И по этому пути /etc/brainy/packet_manager/fail2ban/filter/centos/proftpd.conf(срабатывает во время переустановки fail2ban)
Ага, тоесть в системе вообще нет обновлённого?
И наверное неверно их напрямую редактировать, вроде как можно из самой панели поидее, это я на всякий случай не стал оригинальные трогать.
Фильтры в панели поправим.
Спасибо!
Часовой пояс: UTC
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/