Странная строка в fail2abn.log

[kerogaz]

Постоянно стала появляться странная строка, весом 10108 b, хотя в логах secure входа по ssh не видно. Может у кого-то есть мысли по этому поводу?Я сначала подумал что это строка на китайском языке так отображается, но потом засомневался



Версия пакета : fail2ban.noarch. 0.9.2-1.el6 , CentOS6.7

[Bizdelnick]

Показывайте конфиги, которые изменяли (полностью).

[kerogaz]

В файле iptables.conf закоментил actionstop иначе при останове в логах появляются ошибки (не могут очиститься цепочки)

Код: Выделить всё

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
#

[INCLUDES]

before = iptables-common.conf

[Definition]

# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart = iptables -N f2b-<name>
              iptables -A f2b-<name> -j RETURN
              iptables -I <chain> -p <protocol> --dport <port> -j f2b-<name>

# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
#actionstop = iptables -D <chain> -p <protocol> --dport <port> -j f2b-<name>
#             iptables -F f2b-<name>
#             iptables -X f2b-<name>

# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
actioncheck = iptables -n -L <chain> | grep -q 'f2b-<name>[ \t]'

# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
actionunban = iptables -D f2b-<name> -s <ip> -j <blocktype>

[Init]

В jail.local в строку ignoreip через пробел добавил 8 внешних ip а также 127.0.0.1/8

[kerogaz]

Программа вроде работает но эта строка совершенно непонятна


Эта строка иногда появлялась (довольно редко) и в предыдущей версии fail2ban а в обновлённой версии появляется постоянно

[Bizdelnick]

В файле iptables.conf закоментил actionstop

Вполне вероятно, причина в этом. Я так понимаю, странная строка всегда в начале лога, то есть во время запуска fail2ban? Только при перезапуске сервиса, или при перезагрузке системы тоже?

[kerogaz]

В файле iptables.conf закоментил actionstop

Вполне вероятно, причина в этом. Я так понимаю, странная строка всегда в начале лога, то есть во время запуска fail2ban? Только при перезапуске сервиса, или при перезагрузке системы тоже?

Нет. Эта строка появляется когда угодно. Не во время рестарта fail2ban. Она появляется во время работающего fail2ban несколько раз за день. В предыдущей версии она тоже появлялась, но где-то пару раз в месяц, а в новой версии несколько раз в день. И в предыдущей версии цепочки стирались без ошибок при рестарте, наверное потому что там не было цепочки Chain f2b-SSH а была лишь одна Chain fail2ban-SSH а в новой версии эти обе цепочки присутствуют

Код: Выделить всё

Chain f2b-SSH (3 references)
target     prot opt source               destination
DROP       all  --  host114-49-static.11-188-b.business.telecomitalia.it  anywhere
DROP       all  --  89.248.162.166       anywhere
DROP       all  --  freelive.arvixevps.com  anywhere
DROP       all  --  static.88-198-92-36.clients.your-server.de  anywhere
DROP       all  --  46.158.135.112       anywhere
DROP       all  --  78.39.148.247        anywhere
DROP       all  --  pppoe.178-65-118-31.dynamic.avangarddsl.ru  anywhere
DROP       all  --  208-110-75-253.unassigned.northmo.net  anywhere
DROP       all  --  lasvegas-nv-datacenter.com  anywhere
DROP       all  --  81.30.120.173        anywhere
DROP       all  --  79.97.217.110        anywhere
DROP       all  --  91.236.74.6          anywhere
DROP       all  --  110.45.132.212       anywhere
DROP       all  --  76.74.157.217        anywhere
DROP       all  --  vm9-11.hosteur.com   anywhere
DROP       all  --  81.29.253.61         anywhere
DROP       all  --  92.60.31.155         anywhere
DROP       all  --  mail.mcl-turkey.com  anywhere
DROP       all  --  185.11.66.9          anywhere
DROP       all  --  105-17-229-109.pppoe.langate.ua.17.229.109.in-addr.arpa  anywhere
DROP       all  --  tera.fesb.hr         anywhere
DROP       all  --  104.192.69.45        anywhere
DROP       all  --  dialin-233241.rol.raiffeisen.net  anywhere
DROP       all  --  213.174.6.98         anywhere
DROP       all  --  90.190.14.62.static.jazztel.es  anywhere
DROP       all  --  27.254.67.139        anywhere
DROP       all  --  89.252.1.11.freenet.com.ua  anywhere
RETURN     all  --  anywhere             anywhere

Chain fail2ban-SSH (3 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

И почему в первой цепочке указано 3 references а список поболее, а во второй цепочке те же 3 references а там вообще нифига. Или references это вообще ссылки на какие-то другие источники? Я вот подумал, а не наложилась ли старая версия на новую простым сложением, без удаления ненужных пакетов, и получилась такая каша и программе непонятно какую цепочку при останове стирать??

[kerogaz]

Я ради эксперимента поставил fail2ban на CentOS7 (отключил firewalld и поставил нормальный iptables) Здесь только одна цепочка f2b-SSH

Код: Выделить всё

iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    f2b-SSH    tcp  --  anywhere             anywhere             tcp dpt:ssh
2    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
3    ACCEPT     icmp --  anywhere             anywhere
4    ACCEPT     all  --  anywhere             anywhere
5    ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
6    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain f2b-SSH (1 references)
num  target     prot opt source               destination
1    RETURN     all  --  anywhere             anywhere

[Bizdelnick]

там не было цепочки Chain f2b-SSH а была лишь одна Chain fail2ban-SSH а в новой версии эти обе цепочки присутствуют

Похоже, у Вас мешанина конфигов из пакетов разных версий.

отключил iptablesd и поставил нормальный iptables

Там ещё какой-то iptablesd есть? Или Вы про firewalld?

[kerogaz]

там не было цепочки Chain f2b-SSH а была лишь одна Chain fail2ban-SSH а в новой версии эти обе цепочки присутствуют

Похоже, у Вас мешанина конфигов из пакетов разных версий.

отключил iptablesd и поставил нормальный iptables

Там ещё какой-то iptablesd есть? Или Вы про firewalld?

firewalld Я исправил Теперь как правильно удалить все следы этой мешанины fail2ban и поставит наново? Как удалить эти цепочки. Они приросли намертво к iptables

[Bizdelnick]

Ищите файлы с суффиксами .rpmold (переименованные старые конфиги, которые благополучно заменены новыми) и .rpmnew (новые конфиги, которые не заменили старые) и разбирайтесь, что там откуда взялось. По крайней мере, надеюсь, что в CentOS это так работает...

[kerogaz]

Ищите файлы с суффиксами .rpmold (переименованные старые конфиги, которые благополучно заменены новыми) и .rpmnew (новые конфиги, которые не заменили старые) и разбирайтесь, что там откуда взялось. По крайней мере, надеюсь, что в CentOS это так работает...

Я удалил всё связанное с fail2ban (все пакеты и конфиги) а цепочки fail2ban не могу удалить из iptables

Код: Выделить всё

Chain f2b-SSH (3 references)
num  target     prot opt source               destination
1    RETURN     all  --  anywhere             anywhere

Chain fail2ban-SSH (3 references)
num  target     prot opt source               destination
1    RETURN     all  --  anywhere             anywhere

При том что

Код: Выделить всё

# service fail2ban status
fail2ban: нераспознанная служба

[kerogaz]

Пришлось бить из пушки по воробьям а иначе никак
iptables -F
iptables -X

[kerogaz]

Установил с нуля

Код: Выделить всё

yum install fail2ban

Установился но не стартует

Код: Выделить всё

:ERROR  Failed during configuration: Have not found any log file for apache-auth jail

Причем здесь апач? У меня нет апача

[Bizdelnick]

Раз нет апача, значит надо отключить соответствующий jail. Непонятно только, почему он оказался включён.
Кроме того при удалении пакета конфиги по идее остаются на месте. Если они не нужны, их надо грохнуть вручную перед повторной усановкой.

[kerogaz]

В общем откатил на предыдущую версию fail2ban. Эта стартует безо всяких глюков,и на том спасибо

Код: Выделить всё

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

[kerogaz]

Раз нет апача, значит надо отключить соответствующий jail. Непонятно только, почему он оказался включён.
Кроме того при удалении пакета конфиги по идее остаются на месте. Если они не нужны, их надо грохнуть вручную перед повторной усановкой.

Я все конфиги удалял. Я порылся по интеренету и эта байда с апачем не только у меня и таких людей немало на свете . В общем я решил что легче откатить на старый fail2ban
Забил fail2ban екслюдом в /etc/yum.conf