Debian-Squeeze
fail2ban 中的多個 IP 地址
我剛剛在我的一台伺服器上遇到了一連串的 pop3-login 攻擊。我很驚訝 fail2ban 沒有阻止它們,然後我意識到該服務正在偵聽多個 IP 地址,並且攻擊者正在對所有這些地址進行噴灑。Fail2ban 只屏蔽了我的第一個 IP。
fail2ban 有一個 myip=xyza 設置,但它似乎沒有採用多個值。有沒有辦法設置這個?
哦!我的假設不好。我仔細看了看。fail2ban 不會阻止本地 IP,它會正確阻止源。無需配置多個 IP 地址。
問題似乎是他們每秒進行數十次嘗試。
2012-07-26 10:41:25,771 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 74.63.241.177 2012-07-26 10:41:27,825 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned 2012-07-26 10:41:28,827 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned 2012-07-26 10:41:30,829 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
在 fail2ban 響應之前增加程序計數就足夠了。攻擊的數量和在多個 IP 上的傳播讓我措手不及。