Fail2Ban & owncloud.log

fail2ban version: 0.11.2
owncloud version: 10.9

Seit der Loganpassung der owncloud, hat fail2ban Probleme mit der Datums- und Uhrzeiterkennung.

Logmeldung:

May 22 18:20:22 server fail2ban: 2022-05-22 18:20:17,967 fail2ban.filter [1227195]: WARNING [owncloud] Simulate NOW in operation since found time has too large deviation None ~ 1653236417.9676743 +/- 60
May 22 18:20:22 server fail2ban: 2022-05-22 18:20:17,967 fail2ban.filter [1227195]: WARNING [owncloud] Please check jail has possibly a timezone issue. Line with odd timestamp: {"reqId":"xyz","level":2,"time":"2022-05-22T18:20:17+02:00","remoteAddr":"1.2.3.4","user":"--","app":"core","method":"GET","url":"\/","message":"Trusted domain error. \"1.2.3.4\" tried to access using \"127.0.0.1\" as host."}

Hier hilft eine entsprechende Anpassung der Filterdatei im fail2ban Ordner.

Hier mein Beispielfilterdatei „owncloud.conf“:

[INCLUDES]
before = common.conf

[Definition]
_daemon = owncloud
datepattern = ^{"reqId":".*","level":2,"time":"%%Y-%%m-%%dT%%H:%%M:%%S%%z"

failregex = \"remoteAddr\"\:\"<ADDR>\".*\"message\"\:\"Trusted domain error.
            \"remoteAddr\"\:\"<ADDR>\".*\"message\"\:\"Login failed:

ignoreregex =

Und wenn Ihr jetzt per fail2ban-regex den Filter prüft, sollte ein sauberes Datum mit Uhrzeit erscheinen.

Befehl:

$ fail2ban-regex owncloud.log /etc/fail2ban/filter.d/owncloud.conf
Dieser Beitrag wurde unter News veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.