Fail2ban не парсит auth.log

Столкнулся недавно с таким вот явлением на одном сервере. Причем деплой производился сразу 2ух одинаковых серверов с одной и той же ОС и той же версией пакетов. Стоит fail2ban 0.9.7 на debian 8 x64. На одном сервере из коробки все заработало, на втором спустя время заметил, что auth.log слишком пухлый, пошел смотреть, куча запросов на ssh. Рестарт fail2ban, первое, что пришло в голову – не помогло. Сравнил конфиги, все одинаково, сделал fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf – нашлось до фига совпадений, а в бане нет никого. Решил удалить fail2ban и поставить заново, apt purge fail2ban чтобы и конфиги все потерлись и прочее. Установил, запустил, НИРАБОТАТ! Какое то уныние пришло ко мне, пакеты идентичны, системы идентичны. Уж решил из сырцов пересобрать и раскатать по системе. Безысходность.

Ответ решения был таков: ВРЕМЯ !!! DATE. На данном сервере менялся часовой пояс с UTC. syslog писал по старому времени, не рестартился. Fail2ban видимо смотрит текущее системное время и время лога и соотносит это как событие из прошлого. Рестарт rsyslog и все стало хорошо.

Leave a Reply

Your email address will not be published. Required fields are marked *