Forum Linux.debian/ubuntu Fail2ban : nftables et systemd

Posté par  . Licence CC By‑SA.
Étiquettes :
3
16
sept.
2025

Bonjour à tous,

J'ai essayé de remettre fail2ban en service avec un fichier de conf que j'avais.

Actuellement sous debian sid, que faut-il utiliser comme backend pour l'analyse des logs ?

Si je mets backend = systemd, le log de fail2ban me renvoie les logs suivant puis 'arrête de fonctionner.

fail2ban.filtersystemd  [475669]: ERROR   Caught unhandled exception in main cycle: OSError(24, 'Too many open files')
fail2ban.asyncserver    [475669]: WARNING Accept socket error: [Errno 24] Too many open files

Si je met cette option en mode auto, j'essaie de ban une IP sur un jail existant du type postfix.

Le ban est bien pris en compte mais la règle concernant nftables n'est pas ajoutée.
=> Rectification, je n'ai pas regardé l'ensemble des "table inet" ! J n'ai regardé que filter.

Nota : j'ai déjà une configuration nftables de mise en place.

Si vous avez des suggestions/docs, je suis preneur !

Merci

  • # Manque d'infos

    Posté par  . Évalué à 2 (+0/-0).

    C'est difficile à dire sans voir toute ta configuration, notamment le nombre de jail actifs et leur filtres 'il ont été modifiés.

    Pour le premier point il faut vérifier la directive journalmatch dans les filtres utilisés.
    Exemple dans postfix.conf :

    journalmatch = _SYSTEMD_UNIT=postfix.service _SYSTEMD_UNIT=postfix@-.service

    Si tout est correct, voir aussi cette réponse (en anglais).

    Personnellement, je préfère continuer utiliser rsyslog pour diverses raisons.

    Pour vérifier si une IP w.x.y.z est bien ajoutée, dans table inet f2b-table, aux règles nftables, une façon de faire est :

    nft list ruelset | grep w.x.y.z

  • # sid et les bugs…

    Posté par  . Évalué à 2 (+0/-0).

    Clairement c’est une sorte de bug, puisque le problème est dans un appel à accept() qui atteint une certaine limite sur le nombre de descripteurs ouverts… Rien à voir avec le type de backend ou autre, je pense.

    C’est sid, il faut prendre son mal en patience et un fix va arriver, je suppose. Ou alors regarde tes limites avec rlimit, systemd a peut-être trafiqué ça lors d’une mise à jour.

    • [^] # Re: sid et les bugs…

      Posté par  . Évalué à 2 (+0/-0). Dernière modification le 18 septembre 2025 à 08:01.

      J'y ai pensé aussi mais je n'ai pas trouvé de signalement de bogue clair sur le sujet et par ailleurs la version de fail2ban dans sid est la même que celle de Debian stable.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.