Прошу помощи с fail2ban

[BAKT]

Стояла на удалённом сервере Ubuntu Server 11.04, стоял на ней fail2ban и всё было нормально.
Решил обновиться до версии 12.04, заодно и пакеты все обновить. Поставил, настроил...
Вот только появилась проблема: fail2ban работает только какое-то время после рестарта машины, а потом перестаёт "ловить мышей".
При перезапуске в логи пишется только инфа о том, что он перезапустился и всё. Дальше тишина. Из фильтров в основном использую фильтр для ssh и апача.

Jail's:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 1
action = iptables[name=sshd, port=ssh, protocol=tcp]
         sendmail-whois[name=ssh, dest=******@gmail.com, sender=fail2ban@localhost]
bantime = 36000

[apache-myadmin]
enabled = true
port = http,https
filter   = apache-myadmin
logpath = /var/log/apache2/error.log
action = iptables-multiport[name=apache-myadmin, port="http,https", protocol=tcp]
         sendmail-whois-lines[logpath=/var/log/apache2/error.log, name=apache-myadmin, dest=********@gmail.com, sender=fail2ban@localhost]
maxretry = 0
bantime = 86400


Сами фильтры:

SSH

^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
^$(__prefix_line)sFailed password for .* from <HOST>(?: port \d*)?(?: ssh\d*)?s*$

Апач


[Definition]
docroot = /var/www
badadmin = PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2|PhpMyAdmin|MyAdmin|admin|
docignore = /


failregex = [[]client <HOST>[]] File does not exist: %(docroot)s/(?:%(badadmin)s)


ignoreregex = [[]client <HOST>[]] File does not exist: /var/www/update/web/undefined*.
              [[]client <HOST>[]] File does not exist: /var/www/favicon.ico

В чём может быть проблема?

[BAKT]

Спасибо всем за жаркое обсуждение и дельные советы.
Проблему решил сам.

[v1t83]

Всем привет!
Прошу помощи с fail2ban, установил через apt-get на ubuntu 12.04, показывает что версия 0.8.6. в секции [ssh] установлено enable=yes,
в лошах при запуске пишет
2012-07-06 11:11:22,649 fail2ban.jail   : INFO   Creating new jail 'ssh'
2012-07-06 11:11:22,650 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2012-07-06 11:11:22,659 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2012-07-06 11:11:22,659 fail2ban.filter : INFO   Set maxRetry = 6
2012-07-06 11:11:22,660 fail2ban.filter : INFO   Set findtime = 600
2012-07-06 11:11:22,660 fail2ban.actions: INFO   Set banTime = 600
2012-07-06 11:11:22,695 fail2ban.jail   : INFO   Jail 'ssh' started
И все, делаю попытки конектится с разных адресов  в логи больше ничего не пишется. Хотя при таких же настройках для 10.10 и fail2ban версии 0.8.4 каждый раз когда меняется auth.log выдает сообщение
fail2ban.filter : DEBUG  /var/log/auth.log has been modified
Такое ощущение что в 12.04 не мониторится файл auth.log
Подскажите куда смотреть?

[fli]

попробуй поставить в jail.conf
backend = polling

[MaximKaz]

Спасибо всем за жаркое обсуждение и дельные советы.
Проблему решил сам.

А вам спасибо, за очень подробное и точное описание решения, с поясниниями и скриншотами...

[v1t83]

попробовал polling, gamin и auto - без изменений, заметил следующее если auth.log очистить то в логах fail2ban будет строка
fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
но все так же не реаги рует на добавление строк
Пользователь решил продолжить мысль 06 Июля 2012, 13:36:18:ан нет, прошу прощения в логах появится
fail2ban.filter : DEBUG  /var/log/auth.log has been modified
надо только loglevel = 4 выставить fail2ban.conf.
Спасибо!! Вроде значит заработало далее буду к другим сервисам прикручивать

[fli]

попробовал polling, gamin и auto - без изменений,

Так что ты выставил?

[v1t83]

C polling заработал