Fail2ban timezone Warnungen - Debian11  [SOLVED]

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Fail2ban timezone Warnungen - Debian11

Post by Ralph »

Debian11 (bullseye)
Fail2Ban v0.11.2

Habe mir vorhin mal mein fail2ban.log angeschaut, da finden sich jede Menge timezone warnings:

Code: Select all

2022-12-07 11:51:10,236 fail2ban.filter         [175268]: WARNING [apache-badbots] Please check jail has possibly a timezone issue. Line with odd timestamp: xxx.xxx.xxx.xx - staff [07/Dec/2022:11:49:50 +0100]
2022-12-07 11:51:10,238 fail2ban.filter         [175268]: WARNING [apache-fakegooglebot] Simulate NOW in operation since found time has too large deviation 1670410190 ~ 1670410270.238097 +/- 60
2022-12-07 11:51:10,538 fail2ban.filter         [175268]: WARNING [wordpress] Simulate NOW in operation since found time has too large deviation 1670410190 ~ 1670410270.5381663 +/- 60
Habt Ihr auch diese Warnungen in den Logs?
Bei Buster (Fail2Ban v0.10.2) finde ich keine dieser Logs ...
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Fail2ban timezone Warnungen - Debian11

Post by Ralph »

das betrifft anscheinend nur eigene Filter für Apache Logs, die Filter können entsprechend angepasst werden:
unter
[Definition]
....
einfügen

Code: Select all

[Init]
datepattern = "%%d/%%b/%%Y:%%H:%%M:%%S"
service fail2ban restart

### edit ###
im F2B regex check klappt das, die Warnungen in fail2ban.log tauchen jedoch weiterhin auf ...
könnte eventl. noch mit Sommer/Winterzeit zusammenhängen

bei den Mail Logs tritt das Problem nicht auf
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Fail2ban timezone Warnungen - Debian11  [SOLVED]

Post by Ralph »

diese Pattern scheinen gar nicht mehr zu greifen

Code: Select all

datepattern = "%%d/%%b/%%Y:%%H:%%M:%%S %%z"
ich habe jetzt einfach die default datepattern der apache-badbots unten angehängt, die Logs bleiben jetzt sauber und die Filter greifen.

Code: Select all

datepattern = ^[^\[]*\[({DATE})
              {^LN-BEG}
User avatar
technotravel
KeyHelp Translator
Posts: 263
Joined: Mon 19. Oct 2020, 11:11

Re: Fail2ban timezone Warnungen - Debian11

Post by technotravel »

Hi, ich habe dasselbe timezone Problem.

Blöde Frage: wo genau muss das hier hin?
Ralph wrote: Wed 14. Dec 2022, 13:48 ich habe jetzt einfach die default datepattern der apache-badbots unten angehängt, die Logs bleiben jetzt sauber und die Filter greifen.

Code: Select all

datepattern = ^[^\[]*\[({DATE})
              {^LN-BEG}
In die respektiven Filter?

Danke für Aufklärung!
Chris
Chers francophones, je traduis KeyHelp en français. S'il y a des erreurs ou des propositions d'amélioration, n'hésitez pas à me contacter !
(Ich übersetze KeyHelp ins Französische)
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Fail2ban timezone Warnungen - Debian11

Post by Ralph »

technotravel wrote: Fri 17. Mar 2023, 07:42 Hi, ich habe dasselbe timezone Problem.

Blöde Frage: wo genau muss das hier hin?
Ralph wrote: Wed 14. Dec 2022, 13:48 ich habe jetzt einfach die default datepattern der apache-badbots unten angehängt, die Logs bleiben jetzt sauber und die Filter greifen.

Code: Select all

datepattern = ^[^\[]*\[({DATE})
              {^LN-BEG}
In die respektiven Filter?

Danke für Aufklärung!
Chris

bei mir hat sich das Problem nach einigen Debian Updates gelöst, falls du eigene Filter verwendet dann müssen die Pfade stimmen - KH hat im vorigen Update die Apache & KH Logfile paths geändert.
In der jail.local verwende ich ausserdem:
logencoding = utf-8
User avatar
technotravel
KeyHelp Translator
Posts: 263
Joined: Mon 19. Oct 2020, 11:11

Re: Fail2ban timezone Warnungen - Debian11

Post by technotravel »

Hi Ralph,

danke für deine Antwort! Ich krieg's aber leider nicht hin - meine F2B Erfahrungen sind ziemlich lange her.

Dachte ich könnte mich auf die default KH-Einstellungen verlassen, aber die fangen (auch mit enabled = true) rein gar nichts für Postfix. Obwohl es im mail.log von Kandidaten wimmelt ...

Meine F2B Dateien sind noch die default von der KH-Installation, eigene Versuche habe ich nur in /etc/fail2ban/jail.d/own.local unternommen.

Könntest du mir bitte mal von deiner jail.local die Sektionen [DEFAULT] und [postfix] (oder wie immer du es genannt hast) posten? Das wäre mir sehr nützlich als Inspiration!

Danke im Voraus!
Chris
Chers francophones, je traduis KeyHelp en français. S'il y a des erreurs ou des propositions d'amélioration, n'hésitez pas à me contacter !
(Ich übersetze KeyHelp ins Französische)
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Fail2ban timezone Warnungen - Debian11

Post by Ralph »

technotravel wrote: Mon 20. Mar 2023, 22:44 Könntest du mir bitte mal von deiner jail.local die Sektionen [DEFAULT] und [postfix] (oder wie immer du es genannt hast) posten? Das wäre mir sehr nützlich als Inspiration!
Danke im Voraus!
Chris

schau mal ins /var/log/ rein wg. postfix, die Pfade wurden nicht geändert
für eigene apache F2B rules solte das jetzt ungefähr so aussehen:

Code: Select all

logpath = /home/users/*/logs/*/access.log
	 /var/log/apache2/access.log
	/var/log/apache2/keyhelp/other_vhosts_access.log

oder

logpath = /var/log/apache2/error.log
	/home/users/*/logs/*/error.log
	/var/log/apache2/keyhelp/error.log
Post Reply