Fail2ban
fail2ban failregex 顯然沒有禁止
在註意到通過相同的 ips 重複嘗試訪問我的伺服器上假定的 webadmin 資源之後(即重複嘗試從“通用”伺服器 webadmin 資源的長列表中的每個 ip 進行重複嘗試,例如 /phpmyadmin、/mysql 等),我’我設置了一個自定義的 fail2ban 過濾器(和監獄),它在 fail2ban-regex 中針對我的 apache2/access.log 成功測試,顯示 55 個“命中”(似乎沒有檢查就正確):
[INCLUDES] before = apache-common.conf [Definition] failregex = '^<HOST> - - .*"GET \/phpmyadmin|"GET \/phpMyAdmin|"GET \/pma\/|"GET \/myadmin|"GET \/admin|"GET \/mysql.*$' ignoreregex = ''
fail2ban.log 顯示載入的新監獄。但是,目前 apache2/access.log 中的幾個違規 ip 都沒有在重新啟動後在 fail2ban.log 中列出。
我對 f2b 的理解是它禁止目前日誌而不等待新的日誌條目。
這是否表明新的過濾器和監獄沒有按預期工作?
謝謝!
據我了解,
fail2ban
忽略任何早於findtime
監獄設置的日誌條目(預設為 600 秒)。