Contenu | Rechercher | Menus

Annonce

Ubuntu Party les 18 et 19 mai 2019 à Paris
Grand rendez-vous tout public organisé par Ubuntu-FR, avec install-party, ateliers et conférences.
Venez y (re)découvrir ou faire découvrir le Libre et Ubuntu !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 14/03/2019, à 23:48

oliver2004

[Résolu] Fail2ban fou 13G de logs après après installation serveur

Bonjour,
J'avoue que je suis interloqué, j'ai installé un serveur hier, fais les quelques installation de sécurisation, notamment fail2ban...
Aujourd'hui j'importe une base mysql et ça plante : no space left !
Je ne comprends pas pourquoi car ça ne devrait pas dépasser les 17Go d'occupation au total. Je commence donc à chercher et je m'aperçois que le fichier de log de fail2ban fait aujourd'hui 13G ?
C'est possible ça le jour d'après l'installation ?
J'avoue que je ne sais pas interpréter ces logs, voici un extrait :

$ tail -f /var/log/fail2ban.log
2019-03-14 15:34:07,113 fail2ban.filter         [835]: HEAVY   Looking for match of [('', '2019-03-14 14:25:15,381', ' fail2ban.filter         [835]: HEAVY   Looking for match of [(\'\', \'2019-03-14 14:19:43,524\', " fail2ban.datedetector   [835]: Level 6   got time 1552587534.000000 for \'2019-03-14 14:18:54,082\' using template {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\\\\s*Zone offset)?")]')]
2019-03-14 15:34:07,113 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\[\\])?\\s*(?:<[^.]+\\.[^.]+>\\s+)?(?:\\S+\\s+)?(?:kernel: \\[ *\\d+\\.\\d+\\]\\s+)?(?:@vserver_\\S+\\s+)?(?:(?:(?:\\[\\d+\\])?:\\s+[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?|[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?(?:\\[\\d+\\])?:?)\\s+)?(?:\\[ID \\d+ \\S+\\]\\s+)?| fail2ban\\.actions\\s*(?:\\[\\d+\\])?:\\s+)NOTICE\\s+\\[(?!recidive\\])(?:.*)\\]\\s+Ban\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))\\s*$'
2019-03-14 15:34:07,113 fail2ban.filter         [835]: TRACE   Working on line "2019-03-14 14:25:15,381 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\\\[\\\\])?\\\\s*(?:<[^.]+\\\\.[^.]+>\\\\s+)?(?:\\\\S+\\\\s+)?(?:kernel: \\\\[ *\\\\d+\\\\.\\\\d+\\\\]\\\\s+)?(?:@vserver_\\\\S+\\\\s+)?(?:(?:(?:\\\\[\\\\d+\\\\])?:\\\\s+[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?|[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?(?:\\\\[\\\\d+\\\\])?:?)\\\\s+)?(?:\\\\[ID \\\\d+ \\\\S+\\\\]\\\\s+)?| fail2ban\\\\.actions\\\\s*(?:\\\\[\\\\d+\\\\])?:\\\\s+)NOTICE\\\\s+\\\\[(?!recidive\\\\])(?:.*)\\\\]\\\\s+Ban\\\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\\\d{1,3}\\\\.){3}\\\\d{1,3})|\\\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\\\]?|(?P<dns>[\\\\w\\\\-.^_]*\\\\w))\\\\s*$'\n"
2019-03-14 15:34:07,113 fail2ban.datedetector   [835]: HEAVY   try to match time for line: 2019-03-14 14:25:15,381 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\[\\])?\\s*(?:<[^.]+\\.[^.
2019-03-14 15:34:07,113 fail2ban.datedetector   [835]: HEAVY     try to match last anchored template #00 ...
2019-03-14 15:34:07,114 fail2ban.datedetector   [835]: Level 6   matched last time template #00
2019-03-14 15:34:07,114 fail2ban.datedetector   [835]: Level 6   got time 1552587915.000000 for '2019-03-14 14:25:15,381' using template {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
2019-03-14 15:34:07,114 fail2ban.filter         [835]: HEAVY   Looking for match of [('', '2019-03-14 14:25:15,381', " fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\\\[\\\\])?\\\\s*(?:<[^.]+\\\\.[^.]+>\\\\s+)?(?:\\\\S+\\\\s+)?(?:kernel: \\\\[ *\\\\d+\\\\.\\\\d+\\\\]\\\\s+)?(?:@vserver_\\\\S+\\\\s+)?(?:(?:(?:\\\\[\\\\d+\\\\])?:\\\\s+[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?|[\\\\[\\\\(]?fail2ban\\\\.actions\\\\s*(?:\\\\(\\\\S+\\\\))?[\\\\]\\\\)]?:?(?:\\\\[\\\\d+\\\\])?:?)\\\\s+)?(?:\\\\[ID \\\\d+ \\\\S+\\\\]\\\\s+)?| fail2ban\\\\.actions\\\\s*(?:\\\\[\\\\d+\\\\])?:\\\\s+)NOTICE\\\\s+\\\\[(?!recidive\\\\])(?:.*)\\\\]\\\\s+Ban\\\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\\\d{1,3}\\\\.){3}\\\\d{1,3})|\\\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\\\]?|(?P<dns>[\\\\w\\\\-.^_]*\\\\w))\\\\s*$'")]
2019-03-14 15:34:07,114 fail2ban.filter         [835]: HEAVY     Looking for failregex '^((?:\\[\\])?\\s*(?:<[^.]+\\.[^.]+>\\s+)?(?:\\S+\\s+)?(?:kernel: \\[ *\\d+\\.\\d+\\]\\s+)?(?:@vserver_\\S+\\s+)?(?:(?:(?:\\[\\d+\\])?:\\s+[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?|[\\[\\(]?fail2ban\\.actions\\s*(?:\\(\\S+\\))?[\\]\\)]?:?(?:\\[\\d+\\])?:?)\\s+)?(?:\\[ID \\d+ \\S+\\]\\s+)?| fail2ban\\.actions\\s*(?:\\[\\d+\\])?:\\s+)NOTICE\\s+\\[(?!recidive\\])(?:.*)\\]\\s+Ban\\s+(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))\\s*$'
2019-03-14 15:34:07,114 fail2ban.filter         [835]: TRACE   Worki

Oupsss,
Je viens de vider ce fichier et il grandit à nouveau de Mo en Mo toutes les secondes ??

Je l'ai vidé il y a à peine 2 minutes et voici ce qu'il pèse, 929 Mo :

-rw-r-----   1 root      adm             929M Mar 14 17:49 fail2ban.log

Qu'est ce qui se passe ? On m'attaque ou est-ce un bug ??

Dernière modification par oliver2004 (Le 15/03/2019, à 16:46)


Bureaux: Ubuntu Serveur Edition 16.04 LTS, Kubuntu sur portables Compaq CQ42, Lubuntu sur portable HP 550, Kubuntu sur DELL Inspiron 14...
Mon laptop: Kubuntu sur DELL
Déjà 10 ans que toutes les machines sont LINUX dans mon entreprise...

Hors ligne

#2 Le 15/03/2019, à 08:37

bruno

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

Bonjour,

Il faut nous indiquer ta configuration de fail2ban et sa version.
Tes logs semblent indiquer un problème de configuration bien que se soit difficile  interpréter.

En attendant tu peux simplement arrêter fail2ban :

sudo systemctl stop fail2ban

Dernière modification par bruno (Le 15/03/2019, à 11:47)

Hors ligne

#3 Le 15/03/2019, à 11:14

xubu1957

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

Bonjour,

Tu as pu résoudre tes problèmes de connexion > Problème de connexion a internet sur plusieurs machines depuis 18.04 ?


Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

Xubuntu 18.04.1 LTS - Lenovo T410 -Toshiba Satellite A300  Membre de Linux-Azur

Hors ligne

#4 Le 15/03/2019, à 15:56

oliver2004

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

Bonjour, merci pour ces retours

xubu1957 a écrit :

Bonjour,

Tu as pu résoudre tes problèmes de connexion > Problème de connexion a internet sur plusieurs machines depuis 18.04 ?

xubu1957, non, pas encore, les connexions filaires se sont normalisées, le wifi reste à régler, je vais revenir dessus dans la journée certainement, le travail de bureau et l'installation du serveur m'ont temporairement éloigné de ce souci.

Pour fail2ban, j'ai dû l'arrêter hier, après avoir à nouveau vidé un fichier de log de 13Go... tongue
Le fichier de config, le voici :

:/etc/fail2ban$ cat fail2ban.conf
# Fail2Ban main configuration file
#
# Comments: use '#' for comment lines and ';' (following a space) for inline comments
#
# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in fail2ban.local file, e.g.:
#
# [Definition]
# loglevel = DEBUG
#

[Definition]

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = 3

# Option: logtarget
# Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT.
#         Only one log target can be specified.
#         If you change logtarget from the default value and you are
#         using logrotate -- also adjust or disable rotation in the
#         corresponding configuration file
#         (e.g. /etc/logrotate.d/fail2ban on Debian systems)
# Values: [ STDOUT | STDERR | SYSLOG | SYSOUT | FILE ]  Default: STDERR
#
logtarget = /var/log/fail2ban.log

# Option: syslogsocket
# Notes: Set the syslog socket file. Only used when logtarget is SYSLOG
#        auto uses platform.system() to determine predefined paths
# Values: [ auto | FILE ]  Default: auto
syslogsocket = auto

# Option: socket
# Notes.: Set the socket file. This is used to communicate with the daemon. Do
#         not remove this file when Fail2ban runs. It will not be possible to
#         communicate with the server afterwards.
# Values: [ FILE ]  Default: /var/run/fail2ban/fail2ban.sock
#
socket = /var/run/fail2ban/fail2ban.sock

# Option: pidfile
# Notes.: Set the PID file. This is used to store the process ID of the
#         fail2ban server.
# Values: [ FILE ]  Default: /var/run/fail2ban/fail2ban.pid
#
pidfile = /var/run/fail2ban/fail2ban.pid

# Options: dbfile
# Notes.: Set the file for the fail2ban persistent data to be stored.
#         A value of ":memory:" means database is only stored in memory 
#         and data is lost when fail2ban is stopped.
#         A value of "None" disables the database.
# Values: [ None :memory: FILE ] Default: /var/lib/fail2ban/fail2ban.sqlite3
dbfile = /var/lib/fail2ban/fail2ban.sqlite3

# Options: dbpurgeage
# Notes.: Sets age at which bans should be purged from the database
# Values: [ SECONDS ] Default: 86400 (24hours)
dbpurgeage = 1d

Faut-il coller le fichier /etc/fail2ban/jail.conf ?

Dernière modification par oliver2004 (Le 15/03/2019, à 15:58)


Bureaux: Ubuntu Serveur Edition 16.04 LTS, Kubuntu sur portables Compaq CQ42, Lubuntu sur portable HP 550, Kubuntu sur DELL Inspiron 14...
Mon laptop: Kubuntu sur DELL
Déjà 10 ans que toutes les machines sont LINUX dans mon entreprise...

Hors ligne

#5 Le 15/03/2019, à 16:21

bruno

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

Inutile de donner le fichier par défaut, indique ceux que tu as modifiés, la version de fail2ban utilisée et regarde la doc fail2ban STP.

Hors ligne

#6 Le 15/03/2019, à 16:36

oliver2004

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

bruno a écrit :

Inutile de donner le fichier par défaut, indique ceux que tu as modifiés, la version de fail2ban utilisée et regarde la doc fail2ban STP.

Bonjour bruno, et bien en fait, le problème semble réglé. Je viens de redémarrer fail2ban et les logs ne se remplissent plus ? Bizarre ?
Du coup, problème lors de la mise en route qui a généré cela ?
Par contre, je ne sais pas comment dégoter la version de fail2ban...

Dernière modification par oliver2004 (Le 15/03/2019, à 16:37)


Bureaux: Ubuntu Serveur Edition 16.04 LTS, Kubuntu sur portables Compaq CQ42, Lubuntu sur portable HP 550, Kubuntu sur DELL Inspiron 14...
Mon laptop: Kubuntu sur DELL
Déjà 10 ans que toutes les machines sont LINUX dans mon entreprise...

Hors ligne

#7 Le 15/03/2019, à 16:45

oliver2004

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

J'ai trouvé !
C'était en effet un problème de configuration, c'est le défaut des empiriques comme moi qui configurent sans tout comprendre et en se basant sur des tutos de ci de là pas forcément actualisés. Fail2ban a dû changer et je me suis référé à une config certainement ancienne.
Sur /etc/fail2ban/fail2ban.conf, en début de fichier, sur le fichier par défaut, il y a ça :

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = INFO

Et j'avais changé à ça :

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = 3

Pris d'un tuto quelque part... hmm
Je qui semble avoir généré cela...
Je viens de revérifier, ça semble ok.
Je marque à résolu ! Merci


Bureaux: Ubuntu Serveur Edition 16.04 LTS, Kubuntu sur portables Compaq CQ42, Lubuntu sur portable HP 550, Kubuntu sur DELL Inspiron 14...
Mon laptop: Kubuntu sur DELL
Déjà 10 ans que toutes les machines sont LINUX dans mon entreprise...

Hors ligne

#8 Le 15/03/2019, à 16:45

bruno

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

Si tu veux apprendre à administrer un serveur il va falloir que tu saches trouver immédiatement ce genre d'information…
Dans le cas de fail2ban, deux solutions :

fail2ban-client version
apt-cache policy fail2ban

Je doute que le problème se règle tout seul par miracle. Les logs indiqués en #1 me semblent assez symptomatiques d'une mauvaise configuration de fail2ban (ou d'un mélange de fichiers de conf de deux versions).

Hors ligne

#9 Le 15/03/2019, à 16:48

oliver2004

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

bruno a écrit :

Si tu veux apprendre à administrer un serveur il va falloir que tu saches trouver immédiatement ce genre d'information…
Dans le cas de fail2ban, deux solutions :

fail2ban-client version
apt-cache policy fail2ban

Je doute que le problème se règle tout seul par miracle. Les logs indiqués en #1 me semble assez symptomatiques d'une mauvaise configuration de fail2ban (ou d'un mélange de fichiers de conf de deux versions).

C'est juste, c'est important de connaître sa version d'application...

/var/log$ sudo fail2ban-client version
0.10.2
$ apt-cache policy fail2ban
fail2ban:
  Installed: 0.10.2-2
  Candidate: 0.10.2-2
  Version table:
 *** 0.10.2-2 500
        500 http://nova.clouds.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
        100 /var/lib/dpkg/status

Et ça marche pour d'autres applications, je garde ces commandes sous la manche :

$ apt-cache policy postfix
postfix:
  Installed: 3.3.0-1ubuntu0.2
  Candidate: 3.3.0-1ubuntu0.2
  Version table:
 *** 3.3.0-1ubuntu0.2 500
        500 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     3.3.0-1 500
        500 http://nova.clouds.archive.ubuntu.com/ubuntu bionic/main amd64 Packages

Mais on s'est croisé dans nos posts, le message #7 indique que j'ai trouvé, mauvaise config, effectivement... c'est donc ok, résolu.

Dernière modification par oliver2004 (Le 15/03/2019, à 16:52)


Bureaux: Ubuntu Serveur Edition 16.04 LTS, Kubuntu sur portables Compaq CQ42, Lubuntu sur portable HP 550, Kubuntu sur DELL Inspiron 14...
Mon laptop: Kubuntu sur DELL
Déjà 10 ans que toutes les machines sont LINUX dans mon entreprise...

Hors ligne

#10 Le 16/03/2019, à 17:22

LeoMajor

Re : [Résolu] Fail2ban fou 13G de logs après après installation serveur

bonjour,
au #1, tu as [recidive]

sudo fail2ban-client status recidive

il est important de vérifier tous les filtres, toutes tes règles, avant d'utiliser [recidive], sinon l'entropie s'accélère.

Hors ligne