fail2banを使い始めて暫く経ったのだけど、どうもアップデートをしたタイミングで、うまく動いていないようだったので、設定を見直してみた。
設定ファイルが更に細分化
0.8.13 から 0.9.1 へパッケージの変更が行われたタイミングで、設定ファイルの細分化が行われたようで、フィルタの有効化を制御するための設定ファイルが増えていました。
従来通り、/etc/fail2ban/jail.conf を修正してもよいようですが、
使いたいものがあれば、フィルタの方を必要に応じて修正した後に、/etc/fail2ban/jail.conf にある該当するフィルタの "enabled = false" を ”enabled = true” に書き換えて、再起動すれば、OK。
[From fail2ban を導入 - Soukaku's HENA-CHOKO Blog]
/etc/fail2ban/jail.d/defaults-debian.conf で利用したいフィルタの有効化やフィルタ毎の細かい設定を書く形になっていました。
#設定ファイルの名前から行くと、 Debian 独自の変更?
現状、家のサーバでの設定は、次のような感じ。
nexus01:/etc/fail2ban# more jail.d/defaults-debian.conf
[sshd]
enabled = true
maxretry = 2
bantime = 86400
findtime = 43200
# -----
#[]
#enabled = true
[sshd-ddos]
enabled = true
[apache-auth]
enabled = true
[apache-noscript]
enabled = true
[apache-overflows]
enabled = true
[apache-nohome]
enabled = true
[apache-botsearch]
enabled = true
[apache-modsecurity]
enabled = true
#[apache-shellshock]
#enabled = true
[postfix]
enabled = true
[postfix-sasl]
enabled = true
[dovecot]
enabled = true
logpath = /var/log/mail.log
maxretry = 3
bantime = 43200
findtime = 300
[named-refused]
enabled = true
インストール(アップデート)直後は、最初の 2 行しか書かれていないので、必要に応じてパラメータを追記するなり、有効にしたいフィルタを追記していくなりして、 fail2ban を再起動すれば良い、と。
shellshock 対応した時のように、/etc/fail2ban/jail.local を使う方法も、そのまま使えます。
そして、よく落ちる
で、このところアップデート以降、ちょくちょく落ちていることが。
Dec 27 15:03:53 nexus01 kernel: [791388.906765] fail2ban-server[30722]: segfault at 8 ip 00007f01dade0350 sp 00007f01ca7fa808 error 4 in libsqlite3.so.0.8.6[7f01dadcf000+c3000]
/var/log/messsages に残っているログメッセージを元にググってみると、Debian プロジェクトでも fail2ban の方でも bug として報告が上がっているのですが、報告から 1 か月近く動きがない模様。
早く修正されて欲しいところなんですが…。
しかたがないので、fail2ban が落ちてることに気がついたら、 iptables を一旦クリア・設定し直ししてから、 fail2ban を手動で起動しなおし、で凌いででいるという状況。
一応、ダウングレードする、という手は残っているんで、ちょっと悩みどころ。
コメントする