Стояла на удалённом сервере Ubuntu Server 11.04, стоял на ней fail2ban и всё было нормально.
Решил обновиться до версии 12.04, заодно и пакеты все обновить. Поставил, настроил...
Вот только появилась проблема: fail2ban работает только какое-то время после рестарта машины, а потом перестаёт "ловить мышей".
При перезапуске в логи пишется только инфа о том, что он перезапустился и всё. Дальше тишина. Из фильтров в основном использую фильтр для ssh и апача.
Jail's:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 1
action = iptables[name=sshd, port=ssh, protocol=tcp]
sendmail-whois[name=ssh, dest=******@gmail.com, sender=fail2ban@localhost]
bantime = 36000
[apache-myadmin]
enabled = true
port = http,https
filter = apache-myadmin
logpath = /var/log/apache2/error.log
action = iptables-multiport[name=apache-myadmin, port="http,https", protocol=tcp]
sendmail-whois-lines[logpath=/var/log/apache2/error.log, name=apache-myadmin, dest=********@gmail.com, sender=fail2ban@localhost]
maxretry = 0
bantime = 86400
Сами фильтры:
SSH
^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
^$(__prefix_line)sFailed password for .* from <HOST>(?: port \d*)?(?: ssh\d*)?s*$
Апач
[Definition]
docroot = /var/www
badadmin = PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2|PhpMyAdmin|MyAdmin|admin|
docignore = /
failregex = [[]client <HOST>[]] File does not exist: %(docroot)s/(?:%(badadmin)s)
ignoreregex = [[]client <HOST>[]] File does not exist: /var/www/update/web/undefined*.
[[]client <HOST>[]] File does not exist: /var/www/favicon.ico
В чём может быть проблема?