Início / unix / Perguntas / 550527
Accepted
xenoid
Asked: 2019-11-06 09:37:54 +0800 CST

Grande banco de dados fail2ban, normal?

  • 772

O banco de dados fail2ban no meu servidor é bastante grande (420 MB).

O log do fail2ban está bastante ocupado (há uma entrada de "filtro" a cada dois segundos), mas iptablesmostra apenas alguns endereços banidos.

dbpurgeage é 86400 segundos (24 horas)

Esse tamanho é coerente com a atividade ou há algo acontecendo?

Eu suponho que se eu parar/apagar DB/start eu voltarei a um tamanho sensato, mas isso não tornará as proibições ativas permanentes?

fail2ban

1 respostas

  1. Best Answer

    Acabei de descobrir esse problema em meus próprios servidores. O meu dbpurgeagetambém está definido para o padrão de 24 horas, mas o meu fail2ban.sqlite3cresceu para 400 MB e tem 800.000 banimentos nos últimos 2 anos.

    Acontece que o fail2ban não tinha código para limpar o banco de dados até a v0.11 . Foi adicionado neste commit . dbpurgeage não faz nada antes disso.

    Para ver quantos banimentos existem no DB:

    sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "select count(*) from bans"

    Para ver a idade da sua entrada de banco de dados mais antiga:

    sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "select datetime(min(timeofban), 'unixepoch') from bans"

    Para limpar o banco de dados, por exemplo, mantenha apenas a última semana de dados:

    sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "delete from bans where timeofban < strftime('%s', 'now', '-7 days')"
sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "vacuum"

    A exclusão pode levar vários minutos, durante os quais o fail2ban será bloqueado se tentar acessar o banco de dados. Talvez você queira excluir em lotes menores (primeiro tudo com mais de 2 anos, depois 1 ano, etc), para dar ao fail2ban a chance de ser executado no meio e aspirar no final.

    • 7

relate perguntas