働かないfail2ban

ふと、Webもそこそこ稼働させているfail2banの稼働statusを見ていて、違和感。

Status for the jail: apache-404
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:
Status for the jail: sshd
|- Filter
|  |- Currently failed: 4
|  |- Total failed:     65663
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 0
   |- Total banned:     1207
   `- Banned IP list:

Apacheのところ、働いているとみせかけて、サボってるよね！？（汗）

/etc/fail2ban/jail.d配下のconfファイルに

backend = auto

を付加してfail2banをreloadしたところ、働きだしたようです。

Status for the jail: apache-404
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     1
|  `- File list:        /var/log/httpd/access_log /var/log/httpd/ssl_access_log

Apacheに限らず、

File list:　がなく、

Journal matches:　があっても何も表示されていない場合は

該当の監視に

backend = auto

を入れると良さげです。

いつからこうなっていたか分かりませんが、、、攻撃受けっぱなしだったか～。

ちなみにsshdのところは、Total failed:　の数がみるみる増える時があるんですが、増えているときに/var/log/secureをtail -f していても、相応の量のログが記録されているようには見えず、どうも、今ある/var/log/secureを読み直してあらためて回数をカウントしているのではないか、と思っています。まぁ悪い相手には違いないので、/var/log/secureログがローテされるまで、何回でもカウントしてBANしてくれても差支えはないのですが、光景的には結構焦ります。よく監視ソフトでもありがちな最後に見た行とかの記録が失われるとかなんでしょうか。

【PR】 [オカモト] 靴下サプリ まるでこたつソックス あったか 冷え対策 冬 防寒 ルームソックス 532-995

(12530)

￥1,980 (2024年11月23日 22:51 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)