Re: Fail2ban, grote logfiles

Wed, 10 Jan 2024 02:15:52 -0800 

Hoi Gijs en anderen,

Op 10-01-2024 om 10:12 schreef Gijs Hillenius:

On 10 January 2024 09:06 Paul van der Vlis, wrote:


Hoi,

Sinds kort heb ik er last van dat fail2ban erg grote logfiles heeft,
nu is hij bijvoorbeeld alweer 5,9GB. Volgens mij gaat het om SSH
aanvallen. Ik heb maar weinig machines waar SSH openstaat voor de
wereld, daarom kan ik niet goed vergelijken. Mijn pogingen om de logs
minder verbose te maken hielpen niet, er is iets anders aan de hand
denk ik.

Dit soort dingen staan er in:
---------
2024-01-10 08:58:03,574 fail2ban.filter         [790516]: HEAVY
Looking for failregex 20 - '^(?P<mlfforget>(?P<mlfgained>Accepted
\\w+)) for (?P<user>\\S+) from
(?:\\[?(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):)))\\]?|(?P<dns>[\\w\\-.^_]*\\w))(?:\\s|$)'
--------

Zegt jullie dit misschien iets?


Dag Paul!

Ik zie deze ^^^ meldingen niet in mijn logs. Maar dat zegt weinig.

bij mij is het loglevel = INFO


Ik had het al nog lager gezet. Toch lijken dit debug-meldingen.
Misschien heb ik de oplosssing. Ik heb de loglevel van "3" veranderd in "INFO". Dit staat in /etc/fail2ban/fail2ban.local: 

# [Definition]
# loglevel = 4
#
# Option: loglevel
# Notes.: Set the log level output.
#         1 = ERROR
#         2 = WARN
#         3 = INFO
#         4 = DEBUG
# Values: [ NUM ]  Default: 1
#
Dan zou je een "3" verwachten. Maar in fail2ban.conf staan voorbeelden met b.v. "INFO". 

Ondertussen al 15 minuten geen verbose meldingen meer in de logs!


Wat ik niet goed begrijp uit je post: is de maat van de log file een
probleem? 

Ja, het kost veel ruimte, ook in de backups.


Lost logrotate dat niet op?


Het maakt het kleiner, dat wel.


Mijn servertje had lang geleden moeitje met de groeiende maat van de
Sqlite3 file, die werd te zwaar voor het geheugen van de host. Ik heb
(toen) in fail2ban.conf de purge op 24 uur aangezet, dat houdt het
beperkt:  dbpurgeage = 86400

du -h /var/lib/fail2ban/fail2ban.sqlite3 -> 187M


OK. Leuk om te onthouden. Vooral voor servers met weinig geheugen.
Maar ondertussen ook gezien dat er een alternatief voor fail2ban is, misschien moet ik daar ook eens naar gaan kijken, want ik vind de support van Fail2ban maar matig. 
https://packages.debian.org/bookworm/crowdsec

Groet,
Paul


--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/

Antwoord per e-mail aan