![fail2ban | Unterschied zwischen [sshd] in jail.local und sshd.local in jail.d?](https://rvso.com/image/792259/fail2ban%20%7C%20Unterschied%20zwischen%20%5Bsshd%5D%20in%20jail.local%20und%20sshd.local%20in%20jail.d%3F.png)
AlmaLinux-Server – 1.0.2 fail2ban installiert. Scheint zu funktionieren, aber ich hoffe, dass mir jemand etwas erklären kann:
1\ Arbeite mit einer jail.local-Kopie von jail.conf. In dieser jail.local-Datei gibt es einen Jail-Abschnitt mit Code für [sshd].
2\ Allerdings haben zahlreiche How-to-Sites angegeben, dass ich mit sshd.local im Unterverzeichnis jail.d arbeiten sollte (00-firewalld.local befindet sich bereits in diesem Unterverzeichnis).
Daher habe ich derzeit den Abschnitt [sshd] in jail.local nicht „aktiviert“, sondern (ii) ihn in jail.d/sshd.local aktiviert (Konfiguration unten dargestellt – ich verwende einen nicht standardmäßigen Port für SSHD, der derzeit in jail.local angegeben ist, obwohl er vielleicht nach jail.d/sshd.local verschoben werden könnte/sollte?).
Meine Frage: Was ist der Unterschied/Vorteil zwischen dem Einrichten eines [sshd]-Jails in jail.local und dem Erstellen eines sshd.local, das in jail.d aktiviert wird? Was mich verwirrt, ist, dass ich derzeit die Portnummer in jail.local angebe, aber nicht in jail.d/sshd.local – scheint zu funktionieren, aber vielleicht sollte ich alle [sshd]-Jail-Anweisungen in jail.d/sshd.local einfügen?
Danke...
[sshd]
enabled = true
filter = sshd
logpath = /var/log/secure
action = iptables-multiport
# Override the default global configuration
# for specific jail sshd
bantime = 4h
maxretry = 3
Antwort1
Dies betrifft die Verarbeitungsreihenfolge dieser Konfigurationsdateien und wie sie die Einstellungen in zuvor analysierten Dateien überschreiben, wie injail.conf(5)Manpage:
Zusätzlich zu
.local, forjail.confoderfail2ban.conffile kann ein entsprechendes.d/Verzeichnis mit weiteren.confDateien vorhanden sein. Die Reihenfolge für die Jail-Konfiguration wäre beispielsweise:
jail.confjail.d/*.conf(in alphabetischer Reihenfolge)jail.localjail.d/*.local(in alphabetischer Reihenfolge).d. h. alle .local-Dateien werden nach den .conf-Dateien in der ursprünglichen Konfigurationsdatei und den Dateien im .d-Verzeichnis analysiert. Einstellungen in der später analysierten Datei haben Vorrang vor identischen Einträgen in zuvor analysierten Dateien.
Der Zweck besteht darin, die Standardwerte einfach zu verteilen und gleichzeitig nur das Überschreiben der gewünschten Werte zu ermöglichen.
*.confDateien werden von Fail2Ban verteilt. Es wird empfohlen, dass*.confdie Dateien unverändert bleiben, um Upgrades zu erleichtern. Bei Bedarf sollten Anpassungen in*.localDateien bereitgestellt werden. - -.localGeben Sie in Dateien nur die Einstellungen an, die Sie ändern möchten. Der Rest der Konfiguration kommt dann aus der entsprechenden.confDatei, die zuerst analysiert wird.