Problem mit fail2ban
Hallo,
ich habe mir ein Fail2Ban Blacklist und Whitelist Setup für SMTP
Verbindungen aufgesetzt (siehe
http://www.nabble.com/Postfix-und-zu-viele-Connects-td21826651.html).
Auf den ersten Blick funktioniert das System auch sehr gut, allerdings
hört fail2ban scheint fail2ban das logrotate nicht immer zu bemerken.
Ab diesem Zeitpunkt werden dann natürlich nurnoch IPs aus der Liste
entfernt und keine neuen mehr eingefügt, bis zum nächsten Neustart von
fail2ban.
Wenn ich jedoch von Hand das Logrotate von /var/log/mail.log via
/etc/cron.daily/sysklogd
ausführe, sehe ich im fail2ban.log folgendes:
2009-03-03 19:46:07,008 fail2ban.actions: WARNING [dnsbl] Ban
82.75.181.5
2009-03-03 19:46:07,057 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:07,059 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:07,060 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:07,134 fail2ban.filter : INFO Log rotation detected
for /var/log/auth.log
2009-03-03 19:46:07,135 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:16,058 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:16,062 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:16,062 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
2009-03-03 19:46:16,134 fail2ban.filter : INFO Log rotation detected
for /var/log/mail.log
Wenn das logrotate aber via cron gemacht wird, erscheint diese Ausgabe
nicht. Er erkennt also nicht das ein logrotate stattgefunden hat.
Es handelt sich dabei um die fail2ban Version:
0.8.3-1~bpo40+1 0 aus den etch-backports.
Jemand eine Idee was hier falsch läuft?
MfG
--
Markus Schulz
Reply to: