fail2ban und Systemd

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

fail2ban und Systemd

Beitrag von EEK » 28.07.2017 09:55:04

Hallo zusammen,

ich habe auf meinem CentOS Server fail2ban eingerichtet (funktioniert auch ohne Probleme). Ich wollte es jetzt einfach zum Üben, auch auf einem alten Debian Testserver der bei mir zu Hause steht, installieren. Genauso wie bei meine CentOS-Server habe ich in die jail.config nach jail.local kopiert und „backend = sysemd“ eingestellt. Wenn ich den Dienst neustarten will, bekomme ich allerdings die Meldung „No file(s) found for glob /var/log/auth.log“, was ja scheinbar heißt, dass er weiterhin auf das „alte“ Log-System zugreifen will. Ich suche jetzt bereits seit gestern im Internet nach einer Lösung, aber das einzige was ich finde, ist, dass man unter Debian eine Version größer 0.9.x zu installieren (bei mir ist Version 0.9.6-2 installier) und eben „backend = systemd“ einzustellen.

Hat hier irgendwer Erfahrung oder eine Lösung?

VG,
EEK

BenutzerGa4gooPh

Re: fail2ban und Systemd

Beitrag von BenutzerGa4gooPh » 28.07.2017 16:31:09

EEK hat geschrieben: ↑ zum Beitrag ↑
28.07.2017 09:55:04
...und „backend = sysemd“ eingestellt.
???
Hier steht diesbezüglich was zu Redhat/Fedora, jedoch nichts darüber, dass das für Debian zu aendern ist, vor allem nicht der Wert "backend = systemd".
'https://www.fail2ban.org/wiki/index.php ... 0_8#Debian
In diesem einfachen Tut für Jessie mit systemd steht auch keine notwendige Änderung: https://www.upcloud.com/support/install ... ebian-8-0/
backend = auto sollte korrekt sein.
was ja scheinbar heißt, dass er weiterhin auf das „alte“ Log-System zugreifen will.
Ist wohl auch korrekt, da die eigentlichen Systemd-Logs in irgendwelchen Datenbankformaten vorliegen, die fail2ban vmtl. nicht beherrscht.
Die Logmeldungen werden standardmäßig in der Datei system.journal gespeichert, die bei Ubuntu im Verzeichnis /run/log/journal/UUID_DES_VERZEICHNISSES gespeichert wird.
...
Des Weiteren verwenden die Journaldateien ein binäres Format zum Speichern der Daten.

https://wiki.ubuntuusers.de/systemd/journald/

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: fail2ban und Systemd

Beitrag von EEK » 28.07.2017 17:16:22

Jana66 hat geschrieben: ↑ zum Beitrag ↑
28.07.2017 16:31:09
EEK hat geschrieben: ↑ zum Beitrag ↑
28.07.2017 09:55:04
...und „backend = sysemd“ eingestellt.
???
Hier steht diesbezüglich was zu Redhat/Fedora, jedoch nichts darüber, dass das für Debian zu aendern ist, vor allem nicht der Wert "backend = systemd".
'https://www.fail2ban.org/wiki/index.php ... 0_8#Debian
In diesem einfachen Tut für Jessie mit systemd steht auch keine notwendige Änderung: https://www.upcloud.com/support/install ... ebian-8-0/
backend = auto sollte korrekt sein.
Hier z.B. steht, dass auch bei Debian mit Systemd auf "backend = systemd" umgestellt werden soll: https://unix.stackexchange.com/question ... md-journal
Abgesehen davon funtioniert auch "backen = auto" nicht.

Ich habe es jetzt aber glaube ich hinbekommen. Auf der Seite weiter unten steht man soll "apt-get install inetutils-syslogd" installieren. Zumindest kann ich damit den fail2ban-Dienst jetzt starten.

Danke trotzdem für deine Antwort!

Edit: Falls es jeamdan interessiert bzw. falls jemand das selbe Problem hat: "apt-get install inetutils-syslogd" und "backend = systemd" hat bei mir das Problem gelöst. Es funktioniert jetzt alles wie es soll.

Gruß,
EEK

BenutzerGa4gooPh

Re: fail2ban und Systemd

Beitrag von BenutzerGa4gooPh » 28.07.2017 17:35:03

Kann es sein, dass du eine unvollständige Installation hast?
Der »syslog daemon« ist verantwortlich für das Protokollieren von Nachrichten, die von Programmen und Einrichtungen auf dem lokalen Rechner oder von entfernten Rechnern empfangen werden.
https://packages.debian.org/de/jessie/inetutils-syslogd

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: fail2ban und Systemd

Beitrag von EEK » 28.07.2017 17:41:33

Jana66 hat geschrieben: ↑ zum Beitrag ↑
28.07.2017 17:35:03
Kann es sein, dass du eine unvollständige Installation hast?
Der »syslog daemon« ist verantwortlich für das Protokollieren von Nachrichten, die von Programmen und Einrichtungen auf dem lokalen Rechner oder von entfernten Rechnern empfangen werden.
https://packages.debian.org/de/jessie/inetutils-syslogd
Also wenn, dann muss das beim Update aus Stretch passiert sein. Ich habe zumindest per Hand nichts geändert

Antworten