![fail2ban | разница между [sshd] в jail.local и sshd.local в jail.d?](https://rvso.com/image/792259/fail2ban%20%7C%20%D1%80%D0%B0%D0%B7%D0%BD%D0%B8%D1%86%D0%B0%20%D0%BC%D0%B5%D0%B6%D0%B4%D1%83%20%5Bsshd%5D%20%D0%B2%20jail.local%20%D0%B8%20sshd.local%20%D0%B2%20jail.d%3F.png)
AlmaLinux server -- 1.0.2 fail2ban установлен. Вроде работает, но надеюсь, кто-нибудь сможет мне кое-что прояснить:
1\ работа с копией jail.local jail.conf. В указанном jail.local есть раздел Jail с некоторым кодом для [sshd].
2\ Однако, на многих сайтах с инструкциями указано, что мне следует работать с sshd.local в подкаталоге jail.d (в указанном подкаталоге уже есть 00-firewalld.local).
Итак, в настоящее время я не «включил» раздел [sshd] в jail.local, но вместо этого (ii) включил его в jail.d/sshd.local (конфигурация показана ниже — я использую нестандартный порт для sshd, который в настоящее время указан в jail.local, хотя, возможно, его можно/нужно перенести в jail.d/sshd.local?)
Мой вопрос: в чем разница/преимущество между настройкой [sshd] jail в jail.local и созданием sshd.local, который включается в jail.d? Меня озадачивает то, что я сейчас указываю номер порта в jail.local, но не jail.d/sshd.local -- кажется, работает, но, возможно, мне следует поместить все директивы [sshd] jail в jail.d/sshd.local?
Спасибо...
[sshd]
enabled = true
filter = sshd
logpath = /var/log/secure
action = iptables-multiport
# Override the default global configuration
# for specific jail sshd
bantime = 4h
maxretry = 3
решение1
Это касается порядка обработки этих файлов конфигурации, как они переопределяют настройки ранее проанализированных файлов, как описано вjail.conf(5)Страница руководства:
В дополнение к
.local, дляjail.confилиfail2ban.confфайла может быть соответствующий.d/каталог, содержащий дополнительные.confфайлы. Порядок, например, для конфигурации jail будет следующим:
jail.confjail.d/*.conf(в алфавитном порядке)jail.localjail.d/*.local(в алфавитном порядке).т.е. все файлы .local анализируются после файлов .conf в исходном файле конфигурации и файлов в каталоге .d. Настройки в файле, анализируемом позже, имеют приоритет над идентичными записями в ранее анализируемых файлах.
Целью этого является простое распределение значений по умолчанию с возможностью переопределения только желаемых значений.
*.confФайлы распространяются Fail2Ban. Рекомендуется, чтобы*.confфайлы оставались неизменными, чтобы облегчить обновления. При необходимости настройки должны быть предоставлены в*.localфайлах. - - В.localфайлах укажите только те настройки, которые вы хотели бы изменить, а остальная часть конфигурации будет взята из соответствующего.confфайла, который анализируется первым.