Projet

Général

Profil

Anomalie #3723

Les logs fail2bans ne sont jamais purgées

Ajouté par Christian P. Momon il y a presque 5 ans. Mis à jour il y a plus de 3 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Romain H.
Catégorie:
-
Version cible:
Chapril - Sprint 2020 novembre
Début:
31/05/2019
Echéance:
% réalisé:

100%

Temps estimé:

Description

En investiguant une alerte de Chatonic à propos d'espace disque sur coon:/var (résolue par un apt-get clean), constat que le fichier /var/lib/fail2ban est énorme : 1,3 Go.

Or :

=(^-^)=root@coon:/var/lib/fail2ban# df -h /var/
Sys. de fichiers        Taille Utilisé Dispo Uti% Monté sur
/dev/mapper/vg_coon-var   3,9G    3,2G  480M  87% /var

Et :

===== maine.chapril.org =====
-rw------- 1 root root 1,2G mai   31 00:50 /var/lib/fail2ban/fail2ban.sqlite3
Connection to maine.chapril.org closed.
===== coon.chapril.org =====
-rw------- 1 root root 1,3G mai   31 00:50 /var/lib/fail2ban/fail2ban.sqlite3

Puisque la mission de Fail2ban agit sur de courtes périodes (de quelques minutes à quelques jours), les 1,3 Go de données utiles sont difficilement justifiables.

En regardant dans la base de données, on constate qu'il y a 1 560 462 logs de ban en base:

=(^-^)=root@maine:/var/lib/fail2ban# sqlite3 copy.sqlite3 
SQLite version 3.16.2 2017-01-06 16:32:41
Enter ".help" for usage hints.
sqlite> select count(*) from bans;
1560462

Et que le plus ancien ban stocké date de la mise en place de la plateforme :

sqlite> select timeofban from bans order by timeofban asc limit 5;
1496480937
1496481650
1496482371
1496483093
1496483795
sqlite> ^Z
=(^-^)=root@maine:/var/lib/fail2ban# date -d @1496480937
samedi 3 juin 2017, 11:08:57 (UTC+0200)

Conclusion : les logs de Fail2ban ne sont pas purgées.

Pourtant, Fail2ban est configuré pour ne pas conserver le log d'un ban plus de 24 heures :

=(^-^)=root@maine:/var/lib/fail2ban# fail2ban-client get dbpurgeage
Current database purge age is:
`- 86400seconds

Il semble que la non purge automatique soit un phénomène répandu et normal :

Pas trouvé d'infos de l'intégration dans Debian.

Questions :
  • Y-a-t-il une utilité à conserver le log de tous les bans ?
  • Purge automatique ou purge manuelle ?
  • Ajout d'une sonde pour détecter une taille excessive de la base Fail2ban ? À partir de quelle taille la jugée excessive ?

Historique

#1

Mis à jour par Christian P. Momon il y a presque 5 ans

  • Sujet changé de Les logs fail2bans ne sont jamais purgés à Les logs fail2bans ne sont jamais purgées
#2

Mis à jour par Christian P. Momon il y a environ 4 ans

  • Projet changé de Chapril à Infra Chapril
#3

Mis à jour par Romain H. il y a environ 4 ans

  • Assigné à mis à Romain H.
#4

Mis à jour par Romain H. il y a environ 4 ans

  • Statut changé de Nouveau à En cours de traitement
#5

Mis à jour par Christian P. Momon il y a environ 4 ans

  • Version cible mis à Backlog
#6

Mis à jour par Romain H. il y a plus de 3 ans

  • Statut changé de En cours de traitement à Résolu
  • % réalisé changé de 0 à 100

J'ai rajouté la cron et le script dans sexy-chapril version 1.19.
J'ai mis à jour le paquet sur les VM.
Pour bastion l'historique était trop gros et faisait plein d'IO, j'ai reset la base sqlite3.

#7

Mis à jour par Romain H. il y a plus de 3 ans

  • Statut changé de Résolu à Fermé
#8

Mis à jour par Christian P. Momon il y a plus de 3 ans

  • Version cible changé de Backlog à Sprint 2020 novembre

Formats disponibles : Atom PDF