fail2ban und mehrere logfiles pro filter

Jump to last post
D

DarkHell

Neu angemeldet
Registriert
22 Aug. 2013
Beiträge
25
Hi,

ich habe heute einen Root neu aufgesetzt, mit das erste ist dann immer fail2ban zu installieren.

Ich habe eigentlich eine Standard Config, nur meine EMail, Logpathes, ignoreip und Bantime angepasst.

Jail.local
FEHLER:
[src=bash][apache]

enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
/var/www/vhosts/domain.de/logs/error_log
/var/log/sw-cp-server/error_log
[/src]

GEHT:
[src=bash][apache]

enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
[/src]

Aus irgend einem Grund kann ich damit fail2ban aber nicht mehr starten, ich bekomme nur noch diese Fehleranzeige:
[src=bash]service fail2ban restart
[FAIL] Restarting authentication failure monitor: fail2ban failed!
[/src]

[src=bash] fail2ban-client -d -vvv[/src]
liefert mir

[src=bash]
ERROR Error in action definition sendmail-whois-lines[name=apache, dest="***@****.de", logpath=/var/www/vhosts/****.de/logs/error_log
DEBUG 'NoneType' object has no attribute 'group'
ERROR Errors in jail 'apache'. Skipping...[/src]

wenn ich (wie oben unter "GEHT") den logpath nur noch auf die eine Zeile verkürze geht es, und ich bekomme kein Error mehr. Hat mir da einer ne idee?







f2b Version :
[src=bash]Fail2Ban v0.8.6[/src]

os = Debian :
[src=bash]Debian 3.2.46-1 x86_64 GNU/Linux[/src]

Python :
[src=bash]Python 2.7.3[/src]
 
Moin,

so sollte es eigentlich funktionieren.

DarkHell schrieb:
Jail.local
FEHLER:
[src=bash][apache]

enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
/var/www/vhosts/domain.de/logs/error_log
/var/log/sw-cp-server/error_log
[/src]
Zum Vergrößern anklicken....

siehe hier:
You do not have permission to view link please Anmelden or Registrieren

Dort findest du auch einen Workaround, wie es ausserdem klappen sollte.

So wie ich das sehe, gibts mittlerweile schon fail2ban 0.8.10.
Evtl. hat die ältere v0.8.6 an dieser Stelle noch einen Bug.
 
  • Thread Starter Thread Starter
  • #3
es gibt die 0.8.10 ?!? okey da update ich gleich mal
Danke für den Tip,

ja ich hatte einfach das Standard deb von Debian genommen. Ich schau mal in den Backports.
(Den Link von dir hatte ich auch schon gefunden, aber die Jails da immer zu Kopieren da hätte ich irgendwie > 500 einträge ^^ ich glaube das ist fast nicht praktikabel / wartbar)

Dank dir,
 
Der Grund für das Problem ist, dass die mehrzeilige logpath-Definition bei der Übergabe an die sendmail-whois-lines-Aktion (wohl über %(logpath)s) in älteren Fail2Ban-Versionen zu Problemen führt. Gemäss
You do not have permission to view link please Anmelden or Registrieren
und
You do not have permission to view link please Anmelden or Registrieren
wurde die Möglichkeit, in action-Definitionen mehrzeilige Parameter zu übergeben, erst mit einem Commit vom 15. Mai 2013 geschaffen. Ein Update auf die aktuelle Fail2Ban-Version wird das Problem demnach mutmasslich lösen.
 
  • Thread Starter Thread Starter
  • #5
Hi,

mittlerweile läuft fail2ban wieder danke =), was noch etwas "verwirrend" war, eindrücken mit tabs ging einrücken mit space wollte er nicht. ka ob das gewollt ist oder nicht aber so gehts nun fein =)
Fail2Ban v0.8.10

Edit: naja wies aussieht fail2ban startet zwar ohne zu meckern aber laufen is noch arg übertrieben *g*
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben