fail2ban mit Debian 12 (bookworm)

Zu den üblichen Tätigkeiten wenn ich einen neuen Server einrichte, gehört die Installation und der Start von fail2ban1. Um so erstaunter war ich, dass unter Debian 12 die Installation zwar ohne Probleme klappt, der Start jedoch fehlschlägt.

Nach etwas Wühlerei und noch etwas Nachdenken dann die Erkenntnis. Debian 12 hat keine normalen Logfiles wie z.B. /var/log/auth.log in denen fail2ban nach verdächtigen Aktionen suchen kann, sondern setzt komplett auf systemd und dessen journalctl (siehe 2). In den mitgelieferten Konfigurationsdateien ist (in /etc/fail2ban/paths-*.conf) jeweils für die verschiedenen Systeme angegeben, welches Logfile-Backend genutzt werden soll. Für Arch-Linux gibt es hier z.B. den Eintrag: sshd_backend = systemd. In der generellen fail2ban-Konfiguration ist der Default für backend auf auto gestellt. Und offenbar wählt fail2ban unter Debian 12 bei dieser Einstellung auch korrekterweise systemd als Backend aus.

Allerdings schlägt der Start dennoch fehl, bis man das Paket python3-systemd installiert. Danach klappt alles.

Sicherheitshalber habe ich in meine jail.conf trotzdem das backend nochmal explizit auf systemd gesetzt und auch fail2ban selbst angewiesen, nach STDOUT und somit in das systemd Logsystem zu reporten:

[DEFAULT]
backend = systemd
logtarget = STDOUT

bantime  = 1d
maxretry = 5
findtime  = 1h

[sshd]
enabled = true

  1. https://github.com/fail2ban/fail2ban 

  2. https://www.thomas-krenn.com/de/wiki/Abl%C3%B6sung_von_/var/log/syslog_durch_journalctl_in_Debian_12 

Tags: debian systemd fail2ban fail