Estou brincando com o fail2ban no Kubernetes. Para isso criei um pod que cria mensagens de log falsas: 2021-08-04 18:33:13 Autenticação falhou 15.15.15.15 Criei um filtro personalizado, para testar se o fail2ban está funcionando. Tentei primeiro o utilitário fail2ban-regex com um arquivo contendo 10 linhas dessas mensagens de log e obtive esta saída:
Running tests
=============
Use failregex filter file : test, basedir: /etc/fail2ban
Use log file : /logs.txt
Use encoding : UTF-8
Results
=======
Failregex: 10 total
|- #) [# of hits] regular expression
| 1) [10] \sAuthentication failed\s<HOST>
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [10] ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T| ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
`-
Lines: 10 lines, 0 ignored, 10 matched, 0 missed
[processed in 0.12 sec]
mas quando tento o mesmo filtro no arquivo que contém os logs contínuos, recebo este erro:
Running tests
=============
Use failregex filter file : test, basedir: /etc/fail2ban
Use log file : /logs/kubernetes.logs
Use encoding : UTF-8
Traceback (most recent call last):
File "/usr/bin/fail2ban-regex", line 34, in <module>
exec_command_line()
File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 836, in exec_command_line
if not fail2banRegex.start(args):
File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 776, in start
self.process(test_lines)
File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 584, in process
line_datetimestripped, ret, is_ignored = self.testRegex(line)
File "/usr/lib/python3.8/site-packages/fail2ban/client/fail2banregex.py", line 456, in testRegex
found = self._filter.processLine(line, date)
File "/usr/lib/python3.8/site-packages/fail2ban/server/filter.py", line 613, in processLine
timeMatch = self.dateDetector.matchTime(line)
File "/usr/lib/python3.8/site-packages/fail2ban/server/datedetector.py", line 368, in matchTime
(line[distance] == self.__lastPos[2] and not self.__lastPos[2].isalnum())
IndexError: string index out of range
E quando eu ativo o filtro para fail2ban, não há ip banido, então acho que meu filtro não está funcionando, mas não consigo encontrar o erro.
filtro.conf:
[Definition]
failregex = \sAuthentication failed\s<HOST>
Responder1
Este é um bug conhecido (já corrigido no meio), vejahttps://github.com/fail2ban/fail2ban/issues/3020
Mas o motivo real é o padrão de data impreciso e um carimbo de data/hora incompleto (correspondendo ao conjunto padrão de padrão de data) ou alguma linha sem carimbo de data/hora. A solução seria uma atualização ou (melhor) um padrão de data mais preciso possível e, na melhor das hipóteses, ancorado no início (ou no final).