Projet

Général

Profil

Actions

Anomalie #3723

fermé

Les logs fail2bans ne sont jamais purgées

Ajouté par Christian P. Momon il y a plus de 5 ans. Mis à jour il y a presque 4 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Catégorie:
-
Début:
31/05/2019
Echéance:
% réalisé:

100%

Temps estimé:

Description

En investiguant une alerte de Chatonic à propos d'espace disque sur coon:/var (résolue par un apt-get clean), constat que le fichier /var/lib/fail2ban est énorme : 1,3 Go.

Or :

=(^-^)=root@coon:/var/lib/fail2ban# df -h /var/
Sys. de fichiers        Taille Utilisé Dispo Uti% Monté sur
/dev/mapper/vg_coon-var   3,9G    3,2G  480M  87% /var

Et :

===== maine.chapril.org =====
-rw------- 1 root root 1,2G mai   31 00:50 /var/lib/fail2ban/fail2ban.sqlite3
Connection to maine.chapril.org closed.
===== coon.chapril.org =====
-rw------- 1 root root 1,3G mai   31 00:50 /var/lib/fail2ban/fail2ban.sqlite3

Puisque la mission de Fail2ban agit sur de courtes périodes (de quelques minutes à quelques jours), les 1,3 Go de données utiles sont difficilement justifiables.

En regardant dans la base de données, on constate qu'il y a 1 560 462 logs de ban en base:

=(^-^)=root@maine:/var/lib/fail2ban# sqlite3 copy.sqlite3 
SQLite version 3.16.2 2017-01-06 16:32:41
Enter ".help" for usage hints.
sqlite> select count(*) from bans;
1560462

Et que le plus ancien ban stocké date de la mise en place de la plateforme :

sqlite> select timeofban from bans order by timeofban asc limit 5;
1496480937
1496481650
1496482371
1496483093
1496483795
sqlite> ^Z
=(^-^)=root@maine:/var/lib/fail2ban# date -d @1496480937
samedi 3 juin 2017, 11:08:57 (UTC+0200)

Conclusion : les logs de Fail2ban ne sont pas purgées.

Pourtant, Fail2ban est configuré pour ne pas conserver le log d'un ban plus de 24 heures :

=(^-^)=root@maine:/var/lib/fail2ban# fail2ban-client get dbpurgeage
Current database purge age is:
`- 86400seconds

Il semble que la non purge automatique soit un phénomène répandu et normal :

Pas trouvé d'infos de l'intégration dans Debian.

Questions :
  • Y-a-t-il une utilité à conserver le log de tous les bans ?
  • Purge automatique ou purge manuelle ?
  • Ajout d'une sonde pour détecter une taille excessive de la base Fail2ban ? À partir de quelle taille la jugée excessive ?
Actions

Formats disponibles : Atom PDF