Terminatorthree
Member
Hallo liebes Forum,
nachdem ich lange Zeit hier nur gelesen habe, möchte ich jetzt eure Hilfe in Anspruch nehmen.
Kurz zum Umfeld/Aufgabe:
Es soll eine Owncloudinstallation mit Fail2Ban abgesichert werden. Es wurde ein eigenes Authentifizierungsplugin für Owncloud geschrieben, das auch Logs produziert. Das Standardlogformat sieht dabei etwa so aus
Dafür habe ich nun einen Filter in Fail2Ban geschrieben
Dann habe ich das Ganze getestet
Nach dem Einbinden in die jail.conf und restart von Fail2Ban wird der Filter auch gestartet. Im Log erhalte ich aber keinen Match:
Dagegen hat ein kurzer Test mit SSH auf Anhieb funktioniert und produziert auch entsprechende Logeinträge:
Hat jemand einen Vorschlag, wie ich das weiter debuggen kann? Warum ist der Test mit fail2ban-regex erfolgreich aber der normale Fail2Ban server nicht?
Grüße
Terminatorthree
nachdem ich lange Zeit hier nur gelesen habe, möchte ich jetzt eure Hilfe in Anspruch nehmen.
Kurz zum Umfeld/Aufgabe:
Es soll eine Owncloudinstallation mit Fail2Ban abgesichert werden. Es wurde ein eigenes Authentifizierungsplugin für Owncloud geschrieben, das auch Logs produziert. Das Standardlogformat sieht dabei etwa so aus
Code:
{"app":"user_mybackend","message":"Nov 15 10:47:14: 10.0.7.1: login failed for username","level":1,"time":1352976434}
Dafür habe ich nun einen Filter in Fail2Ban geschrieben
Code:
root@server:/etc/fail2ban/filter.d# cat owncloud.conf
[Definition]
failregex =message\"\:\".*\:\ <HOST>\: login failed.*$
Dann habe ich das Ganze getestet
Code:
root@server:/etc/fail2ban/filter.d# fail2ban-regex /var/log/owncloud.log owncloud.conf
...
Success, the total number of match is 90
Nach dem Einbinden in die jail.conf und restart von Fail2Ban wird der Filter auch gestartet. Im Log erhalte ich aber keinen Match:
Code:
2012-11-15 11:47:05,403 fail2ban.filter : DEBUG /var/log/owncloud.log has been modified
2012-11-15 11:47:05,411 fail2ban.filter.datedetector: DEBUG Sorting the template list
2012-11-15 11:47:15,421 fail2ban.filter : DEBUG /var/log/owncloud.log has been modified
2012-11-15 11:47:15,422 fail2ban.filter.datedetector: DEBUG Sorting the template list
Dagegen hat ein kurzer Test mit SSH auf Anhieb funktioniert und produziert auch entsprechende Logeinträge:
Code:
2012-11-15 11:29:20,962 fail2ban.filter : DEBUG /var/log/auth.log has been modified
2012-11-15 11:29:20,962 fail2ban.filter : DEBUG Found 10.0.7.1
2012-11-15 11:29:20,962 fail2ban.filter.datedetector: DEBUG Sorting the template list
2012-11-15 11:29:23,966 fail2ban.filter : DEBUG /var/log/auth.log has been modified
2012-11-15 11:29:23,966 fail2ban.filter.datedetector: DEBUG Sorting the template list
2012-11-15 11:29:24,967 fail2ban.filter : DEBUG /var/log/auth.log has been modified
2012-11-15 11:29:24,967 fail2ban.filter : DEBUG Found 10.0.7.1
2012-11-15 11:29:24,967 fail2ban.filter.datedetector: DEBUG Sorting the template list
Hat jemand einen Vorschlag, wie ich das weiter debuggen kann? Warum ist der Test mit fail2ban-regex erfolgreich aber der normale Fail2Ban server nicht?
Grüße
Terminatorthree