Bonjour à tous,
J'ai essayé de remettre fail2ban en service avec un fichier de conf que j'avais.
Actuellement sous debian sid, que faut-il utiliser comme backend pour l'analyse des logs ?
Si je mets backend = systemd, le log de fail2ban me renvoie les logs suivant puis 'arrête de fonctionner.
fail2ban.filtersystemd [475669]: ERROR Caught unhandled exception in main cycle: OSError(24, 'Too many open files')
fail2ban.asyncserver [475669]: WARNING Accept socket error: [Errno 24] Too many open files
Si je met cette option en mode auto, j'essaie de ban une IP sur un jail existant du type postfix.
Le ban est bien pris en compte mais la règle concernant nftables n'est pas ajoutée.
=> Rectification, je n'ai pas regardé l'ensemble des "table inet" ! J n'ai regardé que filter.
Nota : j'ai déjà une configuration nftables de mise en place.
Si vous avez des suggestions/docs, je suis preneur !
Merci
# Manque d'infos
Posté par Voltairine . Évalué à 2 (+0/-0).
C'est difficile à dire sans voir toute ta configuration, notamment le nombre de
jail
actifs et leur filtres 'il ont été modifiés.Pour le premier point il faut vérifier la directive
journalmatch
dans les filtres utilisés.Exemple dans postfix.conf :
Si tout est correct, voir aussi cette réponse (en anglais).
Personnellement, je préfère continuer utiliser rsyslog pour diverses raisons.
Pour vérifier si une IP w.x.y.z est bien ajoutée, dans
table inet f2b-table
, aux règles nftables, une façon de faire est :# sid et les bugs…
Posté par benoar . Évalué à 2 (+0/-0).
Clairement c’est une sorte de bug, puisque le problème est dans un appel à accept() qui atteint une certaine limite sur le nombre de descripteurs ouverts… Rien à voir avec le type de backend ou autre, je pense.
C’est sid, il faut prendre son mal en patience et un fix va arriver, je suppose. Ou alors regarde tes limites avec rlimit, systemd a peut-être trafiqué ça lors d’une mise à jour.
[^] # Re: sid et les bugs…
Posté par Voltairine . Évalué à 2 (+0/-0). Dernière modification le 18 septembre 2025 à 08:01.
J'y ai pensé aussi mais je n'ai pas trouvé de signalement de bogue clair sur le sujet et par ailleurs la version de fail2ban dans sid est la même que celle de Debian stable.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.