Fail2ban срабатывает невовремя

0

1

Всем привет! Банальность какая-то, но не могу понять с чем связано именно такое поведение:

jail.local:

...
bantime = 1209600
findtime = 86400
maxretry = 1

лог asterisk:

[2018-05-02 13:15:54] NOTICE[2682] chan_sip.c: Registration from '"908" <sip:908@192.168.1.35:5060>' failed for '185.22.152.68:5467' - Wrong password
[2018-05-02 13:15:54] NOTICE[2682] chan_sip.c: Registration from '"908" <sip:908@192.168.1.35:5060>' failed for '185.22.152.68:5467' - Wrong password
[2018-05-02 13:15:54] NOTICE[2682] chan_sip.c: Registration from '"908" <sip:908@192.168.1.35:5060>' failed for '185.22.152.68:5467' - Wrong password

лог fail2ban:

2018-05-02 13:08:02,440 fail2ban.actions[2996]: WARNING [asterisk] Unban 185.22.152.68
2018-05-02 13:15:55,001 fail2ban.actions[2996]: WARNING [asterisk] Ban 185.22.152.68

Неужели fail2ban сканирует лог сервиса раз в секунду?

Ссылка

←	Сайты веб сервера не видетя DKIM подпись

PAM_mount Centos

→

Неужели fail2ban сканирует лог сервиса раз в секунду?

скорее всего цепляет лог по inotify и получает изменение тут же

Pinkbyte ★★★★★
(08.05.18 13:55:50 MSK)

Ответ на: комментарий от Pinkbyte 08.05.18 13:55:50 MSK

ну не знаю...

У меня f2b делает select() c таймаутом 0.1с

vel ★★★★★
(08.05.18 17:32:29 MSK)

сам лог может сбрасываться на винт довольно редко.

Iron_Bug ★★★★★
(08.05.18 17:44:17 MSK)

Ссылка

Ответ на: комментарий от vel 08.05.18 17:32:29 MSK

Судя по руководству inotify - штука желательная, но не обязательная. А как оно в конкретной инсталляции - хз, не заморачивался, мне производительности хватало

Pinkbyte ★★★★★
(08.05.18 20:40:30 MSK)

Ссылка

Не зря оно называется fail2fail.

beastie ★★★★★
(08.05.18 21:51:37 MSK)

Ссылка

Че хотел то? Fail2ban работает в вашем случае нормально. Если нужно конфиги Fail2ban то обращайтесь.

~~Bootmen~~ ☆☆☆
(09.05.18 14:34:12 MSK)

Ответ на: комментарий от Bootmen 09.05.18 14:34:12 MSK

не нормально. В конфиге указано максимальное кол-во попыток для авторизации перед баном. За секунду боты успевают по 10 авторизаций прислать, и fail2ban им за эту секунду ничего не сделает. За предложение спасибо.

Aborigen1020 ★
(14.05.18 11:41:35 MSK) автор топика

Ответ на: комментарий от Aborigen1020 14.05.18 11:41:35 MSK

У меня стоит Fail2Ban v0.8.14 В более свежих версиях скорость работы fail2ban более быстрая, соответственно, юзаем более свежий софт. решено

Aborigen1020 ★
(08.06.18 15:37:17 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сайты веб сервера не видетя DKIM подпись

Admin

PAM_mount Centos

→

Похожие темы