我尝试根据 Google 库存图片在 Google Cloud Compute Engine 虚拟机上设置 Fail2Ban。Fail2Ban 使用 apt-get 安装并运行良好,但规则永远不会触发。当我使用 fail2ban-regex 验证规则时,规则确实匹配实际日志文件中的行。
经过一番调查,我发现如果我在我自己更改的文件上运行 pyinotify,我会看到:
<Event dir=False mask=0x20 maskname=IN_OPEN name='' path=/tmp/test pathname=/tmp/test wd=1 >
<Event dir=False mask=0x2 maskname=IN_MODIFY name='' path=/tmp/test pathname=/tmp/test wd=1 >
<Event dir=False mask=0x8 maskname=IN_CLOSE_WRITE name='' path=/tmp/test pathname=/tmp/test wd=1 >
OTOH,日志文件的事件总是以 IN_CLOSE_NOWRITE 结尾。
<Event dir=False mask=0x2 maskname=IN_MODIFY name='' path=/var/log/auth.log pathname=/var/log/auth.log wd=1 >
<Event dir=False mask=0x20 maskname=IN_OPEN name='' path=/var/log/auth.log pathname=/var/log/auth.log wd=1 >
<Event dir=False mask=0x1 maskname=IN_ACCESS name='' path=/var/log/auth.log pathname=/var/log/auth.log wd=1 >
<Event dir=False mask=0x10 maskname=IN_CLOSE_NOWRITE name='' path=/var/log/auth.log pathname=/var/log/auth.log wd=1 >
这就是规则不触发的原因吗?
我尝试将 Fail2Ban 后端设置为轮询,但没有改进。如果我tail -f 日志文件,我可以看到它们在有要记录的事件时被附加。
我不知道谷歌是否以某种方式调整了他们的 Debian 映像,或者这是否是虚拟化环境的副产品。
我的下一步应该是什么?
这是fail2ban.log:
2018-01-19 15:29:23,309 fail2ban.jail [13935]: INFO Jail 'sshd' uses pyinotify {}
2018-01-19 15:29:23,312 fail2ban.jail [13935]: INFO Initiated 'pyinotify' backend
2018-01-19 15:29:23,313 fail2ban.filter [13935]: INFO Set maxRetry = 5
2018-01-19 15:29:23,313 fail2ban.filter [13935]: INFO Added logfile = /var/log/auth.log
2018-01-19 15:29:23,314 fail2ban.filter [13935]: INFO Set findtime = 600
2018-01-19 15:29:23,314 fail2ban.actions [13935]: INFO Set banTime = 600
2018-01-19 15:29:23,314 fail2ban.filter [13935]: INFO Set jail log file encoding to UTF-8
2018-01-19 15:29:23,315 fail2ban.filter [13935]: INFO Set maxlines = 10
2018-01-19 15:29:23,338 fail2ban.server [13935]: INFO Jail sshd is not a JournalFilter instance
2018-01-19 15:29:23,342 fail2ban.jail [13935]: INFO Jail 'sshd' started
无论 auth.log 得到什么,都没有“[sshd] Found”行。