Что-то у меня fail2ban не завелся.

Дополнение:

При запуске regex вываливало сообщение:

/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5 module is deprecated; use hashlib instead

Полечил вот этим патчем, но эфекта это не дало, сообщение об ошибке пропало, но в PF по прежнему не попадают IP адреса.

Попробуй такой конфиг. Только почту свою поставь.

# Fail2Ban configuration file.

#

# This file was composed for Debian systems from the original one

#  provided now under /usr/share/doc/fail2ban/examples/jail.conf

#  for additional examples.

#

# To avoid merges during upgrades DO NOT MODIFY THIS FILE

# and rather provide your changes in /etc/fail2ban/jail.local

#

# Author: Yaroslav O. Halchenko <debian@onerussian.com>

#

# $Revision: 281 $

#



# The DEFAULT allows a global definition of the options. They can be override

# in each jail afterwards.



[DEFAULT]



# "ignoreip" can be an IP address, a CIDR mask or a DNS host

ignoreip = 127.0.0.1

bantime  = 600

maxretry = 3

destemail = Тут почта



# "backend" specifies the backend used to get files modification. Available

# options are "gamin", "polling" and "auto".

# yoh: For some reason Debian shipped python-gamin didn't work as expected

#      This issue left ToDo, so polling is default backend for now

backend = polling



#

# Destination email address used solely for the interpolations in

# jail.{conf,local} configuration files.

destemail = root@localhost



#

# ACTIONS

#



# Default banning action (e.g. iptables, iptables-new,

# iptables-multiport, shorewall, etc) It is used to define 

# action_* variables. Can be overriden globally or per 

# section within jail.local file

banaction = iptables-multiport



# email action. Since 0.8.1 upstream fail2ban uses sendmail

# MTA for the mailing. Change mta configuration parameter to mail

# if you want to revert to conventional 'mail'.

mta = sendmail



# Default protocol

protocol = tcp



#

# Action shortcuts. To be used to define action parameter



# The simplest action to take: ban only

action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]



# ban & send an e-mail with whois report to the destemail.

action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]



# ban & send an e-mail with whois report and relevant log lines

# to the destemail.

action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

 

# Choose default action.  To change, just override value of 'action' with the

# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local

# globally (section [DEFAULT]) or per specific section 

action = %(action_)s



#

# JAILS

#



# Next jails corresponds to the standard configuration in Fail2ban 0.6 which

# was shipped in Debian. Enable any defined here jail by including

#

# [SECTION_NAME] 

# enabled = true



#

# in /etc/fail2ban/jail.local.

#

# Optionally you may override any other parameter (e.g. banaction,

# action, port, logpath, etc) in that section within jail.local



[ssh]

enabled = true

port    = ssh

filter  = sshd

action = iptables[name=sshd, port=ssh, protocol=tcp]

#sendmail-whois - пошлет не просто адрес, а информацию предоставленную по whois.

            sendmail-whois[name=ssh, dest=fotoerot@gmail.com, sender=fail2ban@localhost]

logpath  = /var/log/auth.log

maxretry = 3

bantime = 36000 

# Generic filter for pam. Has to be used with action which bans all ports

# such as iptables-allports, shorewall



#[apache-w00tw00t]

#enabled  = true

#filter   = apache-w00tw00t

#action   = iptables-allports[name=w00tw00t, port = all]

#           mail-whois[name=w00tw00t, dest=fotoerot@gmail.com, sender=fail2ban@myserver.org]

#logpath  = /var/log/apache2/other_vhosts_access.log

#maxretry = 3

#bantime  = 36000











[pam-generic]



enabled = false

# pam-generic filter can be customized to monitor specific subset of 'tty's

filter	= pam-generic

# port actually must be irrelevant but lets leave it all for some possible uses

port = all

banaction = iptables-allports

port     = anyport

logpath  = /var/log/auth.log

maxretry = 6



[xinetd-fail]



enabled   = false

filter    = xinetd-fail

port      = all

banaction = iptables-multiport-log

logpath   = /var/log/daemon.log

maxretry  = 2





[ssh-ddos]



enabled = false

port    = ssh

filter  = sshd-ddos

logpath  = /var/log/auth.log

maxretry = 6



#

# HTTP servers

#



[apache]



enabled = false

port	= http,https

filter	= apache-auth

logpath = /var/log/apache*/*error.log

maxretry = 6



# default action is now multiport, so apache-multiport jail was left

# for compatibility with previous (<0.7.6-2) releases

[apache-multiport]



enabled   = false

port	  = http,https

filter	  = apache-auth

logpath   = /var/log/apache*/*error.log

maxretry  = 6



[apache-noscript]



enabled = false

port    = http,https

filter  = apache-noscript

logpath = /var/log/apache*/*error.log

maxretry = 6



[apache-overflows]



enabled = false

port    = http,https

filter  = apache-overflows

logpath = /var/log/apache*/*error.log

maxretry = 2



#

# FTP servers

#



[vsftpd]



enabled  = false

port	 = ftp,ftp-data,ftps,ftps-data

filter   = vsftpd

logpath  = /var/log/vsftpd.log

# or overwrite it in jails.local to be

# logpath = /var/log/auth.log

# if you want to rely on PAM failed login attempts

# vsftpd's failregex should match both of those formats

maxretry = 6





[proftpd]



enabled  = false

port	 = ftp,ftp-data,ftps,ftps-data

filter   = proftpd

logpath  = /var/log/proftpd/proftpd.log

maxretry = 6





[wuftpd]



enabled  = false

port	 = ftp,ftp-data,ftps,ftps-data

filter   = wuftpd

logpath  = /var/log/auth.log

maxretry = 6





#

# Mail servers

#



[postfix]



enabled  = false

port	 = smtp,ssmtp

filter   = postfix

logpath  = /var/log/mail.log





[couriersmtp]



enabled  = false

port	 = smtp,ssmtp

filter   = couriersmtp

logpath  = /var/log/mail.log





#

# Mail servers authenticators: might be used for smtp,ftp,imap servers, so

# all relevant ports get banned

#



[courierauth]



enabled  = false

port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s

filter   = courierlogin

logpath  = /var/log/mail.log





[sasl]



enabled  = false

port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s

filter   = sasl

logpath  = /var/log/mail.log





# DNS Servers





# These jails block attacks against named (bind9). By default, logging is off

# with bind9 installation. You will need something like this:

#

# logging {

#     channel security_file {

#         file "/var/log/named/security.log" versions 3 size 30m;

#         severity dynamic;

#         print-time yes;

#     };

#     category security {

#         security_file;

#     };

# }

#

# in your named.conf to provide proper logging



# Word of Caution:

# Given filter can lead to DoS attack against your DNS server

# since there is no way to assure that UDP packets come from the

# real source IP

[named-refused-udp]



enabled  = false

port     = domain,953

protocol = udp

filter   = named-refused

logpath  = /var/log/named/security.log



[named-refused-tcp]



enabled  = false

port     = domain,953

protocol = tcp

filter   = named-refused

logpath  = /var/log/named/security.log

sergej_a_g ТСу нужно запустить fail2ban для pureftp, а не для простого ssh...

sergej_a_g, Не увидел принципиальной разницы с тем , что делал я.

kgtu5, тут даже дело не в этом, разницы какой файл мониторить нет, есть разница в regex, с этим все в порядке, оно матчит строки, но не выполняет action на сколько я понимаю....

Прошу прощения за невнимательность.

А если попробовать сделать так.

А именно в filder.d/pureftpd.conf:

[Definition]

__errmsg = (?:Authentication failed for user|Erreur d'authentification pour l'utilisateur)

failregex = pure-ftpd(?:\[\d+\])?: \(.+?@<HOST>\) \[WARNING\] %(__errmsg)s \[.+\]$

ignoreregex =

было так (.+?@<HOST>\)

надо так (.+?@<HOST>\))

sergej_a_g, вы то ли специально посты накручиваете себе то ли принципиально не читаете, то что я пишу, ознакомьтесь еще раз внимательно с первым постом , там ясно сказано, что fail2ban-regex находит совпадения с указанными мною failregex= по какой-то таинственной причине он или не считает это за Failed попытку или же по той же причине просто не происходит описанный в jail action..... А вот та скобочка добавочная вообще не ясно как там быть может, в примере на вики похоже лажа , для испытания проверил у себя, ругается на кривизну синтаксиса :)

Я разве похож на накрутчика постов ?

В jail.conf: пользуете pf а конфиг прописан для iptables

Пока что да, если честно :P Ну вы третий раз как-то непонятно отвечаете :D

Из чего это вытекает? у меня в jail.conf совершенно верно прописан pf, в action.d я положил конфиг файл который завется pf.conf , он взят из примера iptables, но судя по строению конфигов в action.d везде есть Actionstop/start/ban/ubnan.... т.е я сделал копию файла этого и подстроил его под PF... Где я использую iptables ? Или что бы использовать PF мне надо каким-то специальным образом конфиг создать???

---------- Добавлено 08.01.2013 в 22:43 ----------

Добавлю, что при такой вот конфигурации:

action.d/pf.conf:

в лог sudo попадает только Actionstart.

Ок. Отвечу понятно.

Посмотрите первые две ссылки.

sergej_a_g, Теперь я окончательно понял, вы накручиваете посты ;)

ВЫ хоть сами то потрудились разницу посмотреть? НАСтрОЕНО ТАК ЖЕ !!!! За исключением того, что в описанных ссылках jail называется иначе и имеет иные значения все тех же переменных. В pf.conf ничего военого не происходит, пробовал я как передачу <table> через [] в action, так и устанавливал её в самом pf.conf в строках actionban/unban. Я тут как бы не просто открыл и сижу думаю что делать, 2 дня плодотворные убиты однако, сейчас уже подхожу к разбору питон кода..... А вы "понятно отвечаете" двумя ссылками на yandex.... Не занимайтесь ерундой.