【发布时间】:2017-07-28 10:33:58
【问题描述】:
自监测以来已经 3 个月了。我观察到的 fail2ban 的性质是,它在繁忙的几天后停止阻止 ips。然后我用它重新启动它,它再次开始工作,阻止IP。几个月以来事情都是这样发展的,但几个月后,即使重新启动,fail2ban 也不会阻止 IP。然后我必须重新安装fail2ban,然后它再次开始阻塞。
谁能说出fail2ban这种性质的原因?
【问题讨论】:
标签: monitoring fail2ban
【发布时间】:2017-07-28 10:33:58
【问题描述】:
如果没有任何配置文件或日志,很难知道发生了什么。无论如何,这种行为可能是由于时钟同步问题。
我不知道您的结构是否可以是:一台机器生成服务日志,另一台机器使用 fail2ban 读取并禁止。或者带有 fail2ban 的主机和 docker 容器中的服务。在这些情况下,日期应该是同步的,包括时区。也许在重新启动服务器后正在同步您的时钟并更改日期......我不知道。有可能。
【讨论】:
-
感谢您的回答,但 fail2ban 与正在运行的服务或正在生成日志的机器在同一台机器上运行。所以没有容器或主客关系。这就是为什么它不可能是时钟同步问题。
-
好的。把你的配置放在这里。什么服务失败了?只有一个?他们都是?你用的是什么过滤器?
Fail2ban 根据 /etc/fail2ban/jail.local 中设置的时间从列表中删除被禁止的主机
# "bantime" is the number of seconds that a host is banned.
bantime = 3600
fail2ban 没有永久禁令(除非通过一些配置修改完成),所以如果你重启
sudo /etc/init.d/fail2ban restart
所有被封禁的 ip 都会自动收到解除封禁。
为了让你在不丢失被禁ip列表的情况下重启服务,输入
sudo fail2ban-client reload
【讨论】: