fail2ban 失敗用の独自のフィルターを作成する

tag-icon tag-icon logging fail2ban filter
fail2ban 失敗用の独自のフィルターを作成する

私は kubernetes で fail2ban を試しています。そのために、偽のログ メッセージを作成するポッドを作成しました: 2021-08-04 18:33:13 認証に失敗しました 15.15.15.15 fail2ban が機能しているかどうかをテストするために、カスタム フィルターを作成しました。最初に、これらのログ メッセージが 10 行含まれているファイルで fail2ban-regex ユーティリティを試したところ、次の出力が得られました:

Running tests
=============

Use   failregex filter file : test, basedir: /etc/fail2ban
Use         log file : /logs.txt
Use         encoding : UTF-8


Results
=======

Failregex: 10 total
|-  #) [# of hits] regular expression
|   1) [10] \sAuthentication failed\s<HOST>
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [10] ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
`-

Lines: 10 lines, 0 ignored, 10 matched, 0 missed
[processed in 0.12 sec]

しかし、継続的にログが記録されるファイルに対して同じフィルターを適用すると、次のエラーが発生します。

Running tests
=============

Use   failregex filter file : test, basedir: /etc/fail2ban
Use         log file : /logs/kubernetes.logs
Use         encoding : UTF-8

Traceback (most recent call last):
 File "/usr/bin/fail2ban-regex", line 34, in <module>
   exec_command_line()
 File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 836, in exec_command_line
   if not fail2banRegex.start(args):
 File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 776, in start
   self.process(test_lines)
 File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 584, in process
   line_datetimestripped, ret, is_ignored = self.testRegex(line)
 File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 456, in testRegex
   found = self._filter.processLine(line, date)
 File "/usr/lib/python3.8/site-packages/fail2ban/server/filter.py", line 613, in processLine
   timeMatch = self.dateDetector.matchTime(line)
 File "/usr/lib/python3.8/site-packages/fail2ban/server/datedetector.py", line 368, in matchTime
   (line[distance] == self.__lastPos[2] and not self.__lastPos[2].isalnum())
IndexError: string index out of range

また、fail2ban のフィルターを有効にすると、禁止された IP がなくなるため、フィルターが機能していないと思うのですが、間違いが見つかりません。

フィルター.conf:

[Definition]

failregex = \sAuthentication failed\s<HOST>

答え1

これは既知のバグです(すでに修正済み)。https://github.com/fail2ban/fail2ban/issues/3020

しかし、実際の理由は、日付パターンが正確でなく、タイムスタンプが不完全 (デフォルトの日付パターン セットに一致) であるか、タイムスタンプがまったくない行があることです。解決策としては、更新するか、(より良いのは) 可能な限り正確な日付パターンにし、最良の場合は開始 (または終了) に固定することです。

関連情報