Какие строки следует искать в /var/log/auth.log?
Обновленный ответ
Начиная с версии 0.10. 0 fail2ban-client появилась команда unban, которую можно использовать двумя способами:
unban --all unbans all IP addresses (in all
jails and database)
unban <IP> ... <IP> unbans <IP> (in all jails and
database)
Более того, команды restart , reload и reload теперь также имеют опцию --unban.
Старый ответ
fail2ban использует iptables для блокирования трафика. Если вы хотите увидеть IP-адреса, которые в настоящее время заблокированы, введите
iptables -L -n
и найдите различные цепочки с именем fail2ban-something, где something указывает на джейл fail2ban (например, Chain f2b-sshd указывает на джейл sshd).
Если вы хотите снять блок только для одного IP-адреса
fail2ban-client set <JAIL> unbanip <IP>
В качестве альтернативы вы можете использовать номера строк. Сначала перечислите правила iptables с номерами строк:
iptables -L -n --line-numbers
Затем вы можете использовать
iptables -D fail2ban-somejail <linenumber>
для удаления одной строки из таблицы. Насколько я знаю, нет возможности выбрать диапазон номеров строк, поэтому, полагаю, вам придется обернуть эту команду в цикл for:
for lin in {200..1}; do
iptables -D fail2ban-somejail $lin
done
Здесь я подставил число 200. Проверьте собственный вывод команды с помощью --line-numbers и обратите внимание, что последняя строка (с RETURN) должна остаться. Обоснование обратного отсчета см. в комментарии @roaima ниже.
Вы можете поискать "Invalid user", который выдается, когда кто-то пытается войти в систему с несуществующей учетной записью. Он также выдает "Failed password", когда вы вводите неверный пароль.
Кроме того, вам не нужно использовать cat для передачи файла в grep. Grep уже может просмотреть файл в качестве второго варианта. 'Grep search-criteria /path/tp/file'