Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Fail2ban fou 13G de logs après après installation serveur

oliver2004

Bonjour,
J'avoue que je suis interloqué, j'ai installé un serveur hier, fais les quelques installation de sécurisation, notamment fail2ban...
Aujourd'hui j'importe une base mysql et ça plante : no space left !
Je ne comprends pas pourquoi car ça ne devrait pas dépasser les 17Go d'occupation au total. Je commence donc à chercher et je m'aperçois que le fichier de log de fail2ban fait aujourd'hui 13G ?
C'est possible ça le jour d'après l'installation ?
J'avoue que je ne sais pas interpréter ces logs, voici un extrait :

$ tail -f /var/log/fail2ban.log
2019-03-14 15:34:07,113 fail2ban.filter         [835]: HEAVY   Looking for match of [('', '2019-03-14 14:25:15,381', ' fail2ban.filter         [835]: HEAVY   Looking for match of [(\'\', \'2019-03-14 14:19:43,524\', " fail2ban.datedetector   [835]: Level 6   got time 1552587534.000000 for \'2019-03-14 14:18:54,082\' using template {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\\\\s*Zone offset)?")]')]
2019-03-14 15:34:07,113 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\[\\])?\\s*(?:<[^.]+\\.[^.]+>\\s+)?(?:\\S+\\s+)?(?:kernel: \\[ *\\d+\\.\\d+\\]\\s+)?(?:@vserver_\\S+\\s+)?(?:(?:(?:\\[\\d+\\])?:\\s+[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?|[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?(?:\\[\\d+\\])?:?)\\s+)?(?:\\[ID \\d+ \\S+\\]\\s+)?| fail2ban\\.actions\\s*(?:\\[\\d+\\])?:\\s+)NOTICE\\s+\\[(?!recidive\\])(?:.*)\\]\\s+Ban\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))\\s*$'
2019-03-14 15:34:07,113 fail2ban.filter         [835]: TRACE   Working on line "2019-03-14 14:25:15,381 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\\\[\\\\])?\\\\s*(?:<[^.]+\\\\.[^.]+>\\\\s+)?(?:\\\\S+\\\\s+)?(?:kernel: \\\\[ *\\\\d+\\\\.\\\\d+\\\\]\\\\s+)?(?:@vserver_\\\\S+\\\\s+)?(?:(?:(?:\\\\[\\\\d+\\\\])?:\\\\s+[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?|[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?(?:\\\\[\\\\d+\\\\])?:?)\\\\s+)?(?:\\\\[ID \\\\d+ \\\\S+\\\\]\\\\s+)?| fail2ban\\\\.actions\\\\s*(?:\\\\[\\\\d+\\\\])?:\\\\s+)NOTICE\\\\s+\\\\[(?!recidive\\\\])(?:.*)\\\\]\\\\s+Ban\\\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\\\d{1,3}\\\\.){3}\\\\d{1,3})|\\\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\\\]?|(?P<dns>[\\\\w\\\\-.^_]*\\\\w))\\\\s*$'\n"
2019-03-14 15:34:07,113 fail2ban.datedetector   [835]: HEAVY   try to match time for line: 2019-03-14 14:25:15,381 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\[\\])?\\s*(?:<[^.]+\\.[^.
2019-03-14 15:34:07,113 fail2ban.datedetector   [835]: HEAVY     try to match last anchored template #00 ...
2019-03-14 15:34:07,114 fail2ban.datedetector   [835]: Level 6   matched last time template #00
2019-03-14 15:34:07,114 fail2ban.datedetector   [835]: Level 6   got time 1552587915.000000 for '2019-03-14 14:25:15,381' using template {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
2019-03-14 15:34:07,114 fail2ban.filter         [835]: HEAVY   Looking for match of [('', '2019-03-14 14:25:15,381', " fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\\\[\\\\])?\\\\s*(?:<[^.]+\\\\.[^.]+>\\\\s+)?(?:\\\\S+\\\\s+)?(?:kernel: \\\\[ *\\\\d+\\\\.\\\\d+\\\\]\\\\s+)?(?:@vserver_\\\\S+\\\\s+)?(?:(?:(?:\\\\[\\\\d+\\\\])?:\\\\s+[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?|[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?(?:\\\\[\\\\d+\\\\])?:?)\\\\s+)?(?:\\\\[ID \\\\d+ \\\\S+\\\\]\\\\s+)?| fail2ban\\\\.actions\\\\s*(?:\\\\[\\\\d+\\\\])?:\\\\s+)NOTICE\\\\s+\\\\[(?!recidive\\\\])(?:.*)\\\\]\\\\s+Ban\\\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\\\d{1,3}\\\\.){3}\\\\d{1,3})|\\\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\\\]?|(?P<dns>[\\\\w\\\\-.^_]*\\\\w))\\\\s*$'")]
2019-03-14 15:34:07,114 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\[\\])?\\s*(?:<[^.]+\\.[^.]+>\\s+)?(?:\\S+\\s+)?(?:kernel: \\[ *\\d+\\.\\d+\\]\\s+)?(?:@vserver_\\S+\\s+)?(?:(?:(?:\\[\\d+\\])?:\\s+[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?|[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?(?:\\[\\d+\\])?:?)\\s+)?(?:\\[ID \\d+ \\S+\\]\\s+)?| fail2ban\\.actions\\s*(?:\\[\\d+\\])?:\\s+)NOTICE\\s+\\[(?!recidive\\])(?:.*)\\]\\s+Ban\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))\\s*$'
2019-03-14 15:34:07,114 fail2ban.filter         [835]: TRACE   Worki

Oupsss,
Je viens de vider ce fichier et il grandit à nouveau de Mo en Mo toutes les secondes ??

Je l'ai vidé il y a à peine 2 minutes et voici ce qu'il pèse, 929 Mo :

-rw-r-----   1 root      adm             929M Mar 14 17:49 fail2ban.log

Qu'est ce qui se passe ? On m'attaque ou est-ce un bug ??

bruno

Bonjour,

Il faut nous indiquer ta configuration de [doc]fail2ban[/doc] et sa version.
Tes logs semblent indiquer un problème de configuration bien que se soit difficile interpréter.

En attendant tu peux simplement arrêter fail2ban :

sudo systemctl stop fail2ban

xubu1957

Bonjour,

Tu as pu résoudre tes problèmes de connexion > Problème de connexion a internet sur plusieurs machines depuis 18.04 ?

oliver2004

Bonjour, merci pour ces retours

xubu1957 a écritBonjour,

Tu as pu résoudre tes problèmes de connexion > Problème de connexion a internet sur plusieurs machines depuis 18.04 ?

xubu1957, non, pas encore, les connexions filaires se sont normalisées, le wifi reste à régler, je vais revenir dessus dans la journée certainement, le travail de bureau et l'installation du serveur m'ont temporairement éloigné de ce souci.

Pour fail2ban, j'ai dû l'arrêter hier, après avoir à nouveau vidé un fichier de log de 13Go... 😛
Le fichier de config, le voici :

:/etc/fail2ban$ cat fail2ban.conf
# Fail2Ban main configuration file
#
# Comments: use '#' for comment lines and ';' (following a space) for inline comments
#
# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in fail2ban.local file, e.g.:
#
# [Definition]
# loglevel = DEBUG
#

[Definition]

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = 3

# Option: logtarget
# Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT.
#         Only one log target can be specified.
#         If you change logtarget from the default value and you are
#         using logrotate -- also adjust or disable rotation in the
#         corresponding configuration file
#         (e.g. /etc/logrotate.d/fail2ban on Debian systems)
# Values: [ STDOUT | STDERR | SYSLOG | SYSOUT | FILE ]  Default: STDERR
#
logtarget = /var/log/fail2ban.log

# Option: syslogsocket
# Notes: Set the syslog socket file. Only used when logtarget is SYSLOG
#        auto uses platform.system() to determine predefined paths
# Values: [ auto | FILE ]  Default: auto
syslogsocket = auto

# Option: socket
# Notes.: Set the socket file. This is used to communicate with the daemon. Do
#         not remove this file when Fail2ban runs. It will not be possible to
#         communicate with the server afterwards.
# Values: [ FILE ]  Default: /var/run/fail2ban/fail2ban.sock
#
socket = /var/run/fail2ban/fail2ban.sock

# Option: pidfile
# Notes.: Set the PID file. This is used to store the process ID of the
#         fail2ban server.
# Values: [ FILE ]  Default: /var/run/fail2ban/fail2ban.pid
#
pidfile = /var/run/fail2ban/fail2ban.pid

# Options: dbfile
# Notes.: Set the file for the fail2ban persistent data to be stored.
#         A value of ":memory:" means database is only stored in memory 
#         and data is lost when fail2ban is stopped.
#         A value of "None" disables the database.
# Values: [ None :memory: FILE ] Default: /var/lib/fail2ban/fail2ban.sqlite3
dbfile = /var/lib/fail2ban/fail2ban.sqlite3

# Options: dbpurgeage
# Notes.: Sets age at which bans should be purged from the database
# Values: [ SECONDS ] Default: 86400 (24hours)
dbpurgeage = 1d

Faut-il coller le fichier /etc/fail2ban/jail.conf ?

bruno

Inutile de donner le fichier par défaut, indique ceux que tu as modifiés, la version de fail2ban utilisée et regarde la doc [doc]fail2ban[/doc] STP.

oliver2004

bruno a écritInutile de donner le fichier par défaut, indique ceux que tu as modifiés, la version de fail2ban utilisée et regarde la doc [doc]fail2ban[/doc] STP.

Bonjour bruno, et bien en fait, le problème semble réglé. Je viens de redémarrer fail2ban et les logs ne se remplissent plus ? Bizarre ?
Du coup, problème lors de la mise en route qui a généré cela ?
Par contre, je ne sais pas comment dégoter la version de fail2ban...

oliver2004

J'ai trouvé !
C'était en effet un problème de configuration, c'est le défaut des empiriques comme moi qui configurent sans tout comprendre et en se basant sur des tutos de ci de là pas forcément actualisés. Fail2ban a dû changer et je me suis référé à une config certainement ancienne.
Sur /etc/fail2ban/fail2ban.conf, en début de fichier, sur le fichier par défaut, il y a ça :

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = INFO

Et j'avais changé à ça :

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = 3

Pris d'un tuto quelque part... :/
Je qui semble avoir généré cela...
Je viens de revérifier, ça semble ok.
Je marque à résolu ! Merci

bruno

Si tu veux apprendre à administrer un serveur il va falloir que tu saches trouver immédiatement ce genre d'information…
Dans le cas de fail2ban, deux solutions :

fail2ban-client version

apt-cache policy fail2ban

Je doute que le problème se règle tout seul par miracle. Les logs indiqués en #1 me semblent assez symptomatiques d'une mauvaise configuration de fail2ban (ou d'un mélange de fichiers de conf de deux versions).

oliver2004

bruno a écritSi tu veux apprendre à administrer un serveur il va falloir que tu saches trouver immédiatement ce genre d'information…
Dans le cas de fail2ban, deux solutions :
fail2ban-client version
apt-cache policy fail2ban
Je doute que le problème se règle tout seul par miracle. Les logs indiqués en #1 me semble assez symptomatiques d'une mauvaise configuration de fail2ban (ou d'un mélange de fichiers de conf de deux versions).

C'est juste, c'est important de connaître sa version d'application...

/var/log$ sudo fail2ban-client version
0.10.2

$ apt-cache policy fail2ban
fail2ban:
  Installed: 0.10.2-2
  Candidate: 0.10.2-2
  Version table:
 *** 0.10.2-2 500
        500 http://nova.clouds.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
        100 /var/lib/dpkg/status

Et ça marche pour d'autres applications, je garde ces commandes sous la manche :

$ apt-cache policy postfix
postfix:
  Installed: 3.3.0-1ubuntu0.2
  Candidate: 3.3.0-1ubuntu0.2
  Version table:
 *** 3.3.0-1ubuntu0.2 500
        500 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     3.3.0-1 500
        500 http://nova.clouds.archive.ubuntu.com/ubuntu bionic/main amd64 Packages

Mais on s'est croisé dans nos posts, le message #7 indique que j'ai trouvé, mauvaise config, effectivement... c'est donc ok, résolu.

LeoMajor

bonjour,
au #1, tu as [recidive]

sudo fail2ban-client status recidive

il est important de vérifier tous les filtres, toutes tes règles, avant d'utiliser [recidive], sinon l'entropie s'accélère.