D
Deleted member 14254
Guest
Hallo Forum,
ich habe folgende Frage:
Seit kürzlich nutze ich fail2ban mit pyinotify-backend, was WESENTLICH schneller reagiert als das Standard-Polling. Gamin funktioniert bei hardened/SELinux-Kerneln nicht, weshalb es (als ebenfalls oft angepriesene zuverlässige Variante) für mich ausfällt :/
Das Poblem ist nur, das wenn die Logs rotieren, fail2ban aufhört zu bannen. (Liegt an Python, schon im Inet recherchiert)
Abhilfe schaffte dies:
In /etc/logrotate.d/fail2ban
diese Zeile:
einzusetzen, um die Konfiguration nach dem Rotieren wieder auf das neue leere File verweisen zu lassen.
Leider ist dies unzuverlässig. Einige Jails funktionieren, einige nicht.
Das ist kein Zustand, auf den man sich verlassen möchte.
Wäre es eine Möglichkeit fail2ban KOMPLETT zu stoppen und wieder zu starten?
Also in etwa so:
Hab mir schon Cronjobs als Lösung durch den Kopf gehen lassen, aber der f2b-restart soll(te) ja auch zeitnah in logrotate-Abhängigkeit einhergehen.
Was sagt Ihr dazu? Bin echt ratlos im Moment... Freue mich über jeden Anstoß.
ich habe folgende Frage:
Seit kürzlich nutze ich fail2ban mit pyinotify-backend, was WESENTLICH schneller reagiert als das Standard-Polling. Gamin funktioniert bei hardened/SELinux-Kerneln nicht, weshalb es (als ebenfalls oft angepriesene zuverlässige Variante) für mich ausfällt :/
Das Poblem ist nur, das wenn die Logs rotieren, fail2ban aufhört zu bannen. (Liegt an Python, schon im Inet recherchiert)
Abhilfe schaffte dies:
In /etc/logrotate.d/fail2ban
Code:
# cat fail2ban
/var/log/fail2ban.log {
daily
rotate 4
missingok
compress
postrotate
/usr/bin/fail2ban-client set logtarget /var/log/fail2ban.log 1>/dev/null || true
/usr/bin/fail2ban-client -x reload > /dev/null
endscript
}
diese Zeile:
Code:
/usr/bin/fail2ban-client -x reload > /dev/null
einzusetzen, um die Konfiguration nach dem Rotieren wieder auf das neue leere File verweisen zu lassen.
Leider ist dies unzuverlässig. Einige Jails funktionieren, einige nicht.
Das ist kein Zustand, auf den man sich verlassen möchte.
Wäre es eine Möglichkeit fail2ban KOMPLETT zu stoppen und wieder zu starten?
Also in etwa so:
Code:
/usr/bin/fail2ban-client -x stop > /dev/null
/usr/bin/fail2ban-client start > /dev/null
Hab mir schon Cronjobs als Lösung durch den Kopf gehen lassen, aber der f2b-restart soll(te) ja auch zeitnah in logrotate-Abhängigkeit einhergehen.
Was sagt Ihr dazu? Bin echt ratlos im Moment... Freue mich über jeden Anstoß.