inzaghi89 0 Zgłoś post Napisano Październik 9, 2011 (edytowany) Posiadam CentOS6, zainstalowany i skonfigurowany fail2ban z domyślnymi filtrami. Na centosie jest httpd. Problem polega na tym, że fail2ban nie banuje IP (grepowałem error_log i nie zablokował IPka które wywołało ponad 20 zapytań "not found"). W jail.conf zmieniłem jedynie czas trwania blokady oraz dodałem by używal filtra apache-auth: bantime = 86400 [apache-iptables] enabled = true filter = apache-auth action = iptables[name=apache, port=80, protocol=tcp] logpath = /var/log/httpd/error_log maxretry = 6 Macie jakieś pomysły? fail2ban też nie generuje żadnych logów. Nawet nie utworzył sobie pliku /var/log/fail2ban.log Edytowano Październik 9, 2011 przez inzaghi89 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
B0FH 3 Zgłoś post Napisano Październik 9, 2011 /etc/fail2ban/filter.d/ zdefiniuj filtr, ten za coś innego odpowiada - próby logowania /etc/fail2ban/filter.d# cat apache-auth.conf # Fail2Ban configuration file # # Author: Cyril Jaquier # # $Revision: 728 $ # [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}?(?P<host>[\w\-.^_]+) # Values: TEXT # failregex = [[]client <HOST>[]] user .* authentication failure [[]client <HOST>[]] user .* not found [[]client <HOST>[]] user .* password mismatch # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex = Udostępnij ten post Link to postu Udostępnij na innych stronach
inzaghi89 0 Zgłoś post Napisano Październik 9, 2011 Eh, ślepemu po oczach. Masz rację. Za to co potrzebuje (zdaje mi się) odpowiada apache-noscript. Udostępnij ten post Link to postu Udostępnij na innych stronach
B0FH 3 Zgłoś post Napisano Październik 9, 2011 Eh, ślepemu po oczach. Masz rację. Za to co potrzebuje (zdaje mi się) odpowiada apache-noscript. failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat): /\S*(\.php|\.asp|\.exe|\.pl) [[]client <HOST>[]] script '/\S*(\.php|\.asp|\.exe|\.pl)\S*' not found or unable to stat *$ nie do konca o tym pisales, ale ok, moze: [[]client <HOST>[]] (File does not exist|script not found or unable to stat) *$ Udostępnij ten post Link to postu Udostępnij na innych stronach
inzaghi89 0 Zgłoś post Napisano Październik 9, 2011 Chodzi o to by blokował: http://wklej.org/hash/0a2073485c0/ wg reguły noscriptu wynika, że właśnie to powinien robić. Albo ja coś źle z regułami zrozumialem. Udostępnij ten post Link to postu Udostępnij na innych stronach
B0FH 3 Zgłoś post Napisano Październik 12, 2011 poczytaj o wyrażeniach regularnych Udostępnij ten post Link to postu Udostępnij na innych stronach
