А работает ли действительно fail2ban? Или чего-то не хватает в системе?

[Nicom]

На 10 платформе, в starterkit p10 MATE не вижу нормальной работы fail2ban на ssh порту.
В логах постоянно сыпятся сообщения

Код: [Выделить]

апр 16 00:20:37 test-01 sshd[344322]: UNKNOWN USER from 23.94.208.209 port 35582
апр 16 00:20:37 test-01 sshd[344322]: Connection closed by UNKNOWN USER 23.94.208.209 port 35582 [preauth]
апр 16 00:20:46 test-01 sshd[344324]: User root from 23.94.208.209 not allowed because not listed in AllowUsers

Спойлер

апр 16 00:19:13 test-01 sshd[344303]: UNKNOWN USER from 23.94.208.209 port 58002
апр 16 00:19:14 test-01 sshd[344303]: Connection closed by UNKNOWN USER 23.94.208.209 port 58002 [preauth]
апр 16 00:19:23 test-01 sshd[344305]: UNKNOWN USER from 23.94.208.209 port 51482
апр 16 00:19:23 test-01 sshd[344305]: Connection closed by UNKNOWN USER 23.94.208.209 port 51482 [preauth]
апр 16 00:19:32 test-01 sshd[344307]: UNKNOWN USER from 23.94.208.209 port 49494
апр 16 00:19:32 test-01 sshd[344307]: Connection closed by UNKNOWN USER 23.94.208.209 port 49494 [preauth]
апр 16 00:19:41 test-01 sshd[344309]: UNKNOWN USER from 23.94.208.209 port 57290
апр 16 00:19:41 test-01 sshd[344309]: Connection closed by UNKNOWN USER 23.94.208.209 port 57290 [preauth]
апр 16 00:19:51 test-01 sshd[344311]: UNKNOWN USER from 23.94.208.209 port 56966
апр 16 00:19:51 test-01 sshd[344311]: Connection closed by UNKNOWN USER 23.94.208.209 port 56966 [preauth]
апр 16 00:20:00 test-01 sshd[344313]: User postgres not allowed because shell /dev/null is not executable
апр 16 00:20:00 test-01 sshd[344313]: Connection closed by UNKNOWN USER 23.94.208.209 port 35224 [preauth]
апр 16 00:20:10 test-01 sshd[344315]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:20:11 test-01 sshd[344315]: Connection closed by UNKNOWN USER 23.94.208.209 port 48482 [preauth]
апр 16 00:20:19 test-01 sshd[344317]: UNKNOWN USER from 23.94.208.209 port 50700
апр 16 00:20:19 test-01 sshd[344317]: Connection closed by UNKNOWN USER 23.94.208.209 port 50700 [preauth]
апр 16 00:20:28 test-01 sshd[344320]: UNKNOWN USER from 23.94.208.209 port 43794
апр 16 00:20:28 test-01 sshd[344320]: Connection closed by UNKNOWN USER 23.94.208.209 port 43794 [preauth]
апр 16 00:20:37 test-01 sshd[344322]: UNKNOWN USER from 23.94.208.209 port 35582
апр 16 00:20:37 test-01 sshd[344322]: Connection closed by UNKNOWN USER 23.94.208.209 port 35582 [preauth]
апр 16 00:20:46 test-01 sshd[344324]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:20:46 test-01 sshd[344324]: Connection closed by UNKNOWN USER 23.94.208.209 port 55310 [preauth]
апр 16 00:20:55 test-01 sshd[344326]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:20:55 test-01 sshd[344326]: Connection closed by UNKNOWN USER 23.94.208.209 port 55312 [preauth]
апр 16 00:21:04 test-01 sshd[344328]: UNKNOWN USER from 23.94.208.209 port 53440
апр 16 00:21:04 test-01 sshd[344328]: Connection closed by UNKNOWN USER 23.94.208.209 port 53440 [preauth]
апр 16 00:21:13 test-01 sshd[344330]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:21:14 test-01 sshd[344330]: Connection closed by UNKNOWN USER 23.94.208.209 port 34638 [preauth]
апр 16 00:21:23 test-01 sshd[344332]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:21:23 test-01 sshd[344332]: Connection closed by UNKNOWN USER 23.94.208.209 port 60192 [preauth]
апр 16 00:21:32 test-01 sshd[344334]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:21:32 test-01 sshd[344334]: Connection closed by UNKNOWN USER 23.94.208.209 port 37836 [preauth]
апр 16 00:21:41 test-01 sshd[344336]: UNKNOWN USER from 23.94.208.209 port 37344
апр 16 00:21:41 test-01 sshd[344336]: Connection closed by UNKNOWN USER 23.94.208.209 port 37344 [preauth]
апр 16 00:21:50 test-01 sshd[344339]: UNKNOWN USER from 23.94.208.209 port 50064
апр 16 00:21:50 test-01 sshd[344339]: Connection closed by UNKNOWN USER 23.94.208.209 port 50064 [preauth]
апр 16 00:21:59 test-01 sshd[344341]: UNKNOWN USER from 23.94.208.209 port 59464
апр 16 00:21:59 test-01 sshd[344341]: Connection closed by UNKNOWN USER 23.94.208.209 port 59464 [preauth]
апр 16 00:22:08 test-01 sshd[344343]: User messagebus not allowed because shell /dev/null is not executable
апр 16 00:22:08 test-01 sshd[344343]: Connection closed by UNKNOWN USER 23.94.208.209 port 52542 [preauth]
апр 16 00:22:17 test-01 sshd[344345]: UNKNOWN USER from 23.94.208.209 port 42162
апр 16 00:22:18 test-01 sshd[344345]: Connection closed by UNKNOWN USER 23.94.208.209 port 42162 [preauth]
апр 16 00:22:27 test-01 sshd[344347]: User root from 23.94.208.209 not allowed because not listed in AllowUsers
апр 16 00:22:27 test-01 sshd[344347]: Connection closed by UNKNOWN USER 23.94.208.209 port 40812 [preauth]
апр 16 00:22:36 test-01 sshd[344349]: UNKNOWN USER from 23.94.208.209 port 60720
апр 16 00:22:36 test-01 sshd[344349]: Connection closed by UNKNOWN USER 23.94.208.209 port 60720 [preauth]

с одного и того же IP, хотя fail2ban запущен и он не видит проблем.

Спойлер

$ /etc/fail2ban/jail.d> systemctl status fail2ban.service
● fail2ban.service - Fail2ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
     Active: active (running) since Thu 2026-04-16 00:17:49 +05; 7min ago
    Process: 344272 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=0/SUCCESS)
   Main PID: 344276 (fail2ban-server)
      Tasks: 5 (limit: 18947)
     Memory: 13.8M
        CPU: 288ms
     CGroup: /system.slice/fail2ban.service
             └─ 344276 /usr/bin/python3 /usr/bin/fail2ban-server --async -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -x --loglevel >

апр 16 00:17:48 test-01 systemd[1]: Starting Fail2ban Service...
апр 16 00:17:49 test-01 fail2ban-client[344272]: Server ready
апр 16 00:17:49 test-01 systemd[1]: Started Fail2ban Service.

Код: [Выделить]

$ fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 0
|  `- File list: /var/log/auth/messages
`- Actions
   |- Currently banned: 0
   |- Total banned: 0
   `- Banned IP list:
Настройки базовые, но пробовал и добавить в /etc/fail2ban/jail.d/customisation.local
такие параметры

Код: [Выделить]

[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/auth/messages
maxretry = 2
findtime = 300
bantime = 7200
Файл /var/log/auth/messages пустой.

[yaleks]

Так надо backend = systemd

[Nicom]

И куда это надо?

Код: [Выделить]

апр 16 00:50:06 test-01 fail2ban-client[344769]: 2026-04-16 00:50:06,098 fail2ban                [344769]: ERROR   NOK: ("Failed to initialize any backend for Jail 'sshd'",)

Код: [Выделить]

$ fail2ban-client status sshd
2026-04-16 00:53:33,365 fail2ban                [344856]: ERROR   NOK: ('sshd',)
Sorry but the jail 'sshd' does not exist

[Nicom]

Не хватало модуля питона. Помогла установка

Код: [Выделить]

apt-get install python3-module-systemd
Непонятно, почему он не подтягивается автоматом при установке fail2ban? Ведь сейчас подавляющее большинство сборок работает с systemd-journald!

И убрать из /etc/fail2ban/jail.d/customisation.local строку
logpath  = /var/log/auth/messages

[Skull]

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

[asy]

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

Можно для пользователей systemd метапакет сделать fail2ban-systemd... Кто будет баг вешать, можно предложение добавить.

[yaleks]

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

значит wayland пихать вы можете, а простое сообщение в postinstall для самой распространенной конфигурации fail2ban не догадались.

[asy]

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

значит wayland пихать вы можете, а простое сообщение в postinstall для самой распространенной конфигурации fail2ban не догадались.

и зачем оно, например, мне?

[Nicom]

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

Могу предложить в скрипте postinstall сделать проверку на тип используемой системы инициализации и исходя из её результата выводить сообщение в консоль, что дополнительно нужно сделать для нормальной работы fail2ban.

Имеет смысл создавать такой багрепорт?

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

значит wayland пихать вы можете, а простое сообщение в postinstall для самой распространенной конфигурации fail2ban не догадались.

и зачем оно, например, мне?

Ну, когда-нибудь и у Вас появится сервер с systemd.

Вообще, тема тянется аж с 2022 года, https://forum.altlinux.org/index.php?topic=47008.0
И только сейчас я заметил, что и на 9 платформе тоже не всё гладко, там так же не работал нормально fail2ban, пришлось внести ручные правки в конфиг.
А ведь везде утверждается что защита sshd в fail2ban работает "из коробки" и достаточно просто установить пакет. А вон оно как выходит, нужно ещё и специально поисковиком воспользоваться чтобы получить заветный гайд https://www.altlinux.org/Fail2ban

[Skull]

bugzilla.altlinux.org
И расскажите пользователям sysvinit, что им делать.

значит wayland пихать вы можете, а простое сообщение в postinstall для самой распространенной конфигурации fail2ban не догадались.

А Wayland при чём, если обсуждаем серверные пакеты?

[yaleks]

А Wayland при чём, если обсуждаем серверные пакеты?

потому что и в том и другом случае конечный продукт (декстоп или сервер) нерабочий без большого напильника. Причем в самом типовом и базовом варианте применения.