fail2ban version: 0.11.2
owncloud version: 10.9
Seit der Loganpassung der owncloud, hat fail2ban Probleme mit der Datums- und Uhrzeiterkennung.
Logmeldung:
May 22 18:20:22 server fail2ban: 2022-05-22 18:20:17,967 fail2ban.filter [1227195]: WARNING [owncloud] Simulate NOW in operation since found time has too large deviation None ~ 1653236417.9676743 +/- 60
May 22 18:20:22 server fail2ban: 2022-05-22 18:20:17,967 fail2ban.filter [1227195]: WARNING [owncloud] Please check jail has possibly a timezone issue. Line with odd timestamp: {"reqId":"xyz","level":2,"time":"2022-05-22T18:20:17+02:00","remoteAddr":"1.2.3.4","user":"--","app":"core","method":"GET","url":"\/","message":"Trusted domain error. \"1.2.3.4\" tried to access using \"127.0.0.1\" as host."}
Hier hilft eine entsprechende Anpassung der Filterdatei im fail2ban Ordner.
Hier mein Beispielfilterdatei „owncloud.conf“:
[INCLUDES]
before = common.conf
[Definition]
_daemon = owncloud
datepattern = ^{"reqId":".*","level":2,"time":"%%Y-%%m-%%dT%%H:%%M:%%S%%z"
failregex = \"remoteAddr\"\:\"<ADDR>\".*\"message\"\:\"Trusted domain error.
\"remoteAddr\"\:\"<ADDR>\".*\"message\"\:\"Login failed:
ignoreregex =
Und wenn Ihr jetzt per fail2ban-regex den Filter prüft, sollte ein sauberes Datum mit Uhrzeit erscheinen.
Befehl:
$ fail2ban-regex owncloud.log /etc/fail2ban/filter.d/owncloud.conf