問題タブ [fail2ban]

fail2ban 正規表現で複数行の認証失敗をキャッチすることは可能ですか?

例は次のとおりです。

ありがとう

403 リクエストを見つけて禁止したいのですが、これが私のログ形式です

私のfailregは次のとおりです。

無視正規表現 =

しかし、 fail2ban-regex コマンドを使用してテストすると、以下が返されます

403 リクエストに一致する正規表現を作成し、IP を出力するのを手伝ってくれませんか。前もって感謝します

CentOS サーバーには MTA として postfix があり、動作しています。コマンドを入力するとmail -s "testing" <my gmail address>、メールが届きます。

ただし、IP が禁止されると、Fail2ban は私の gmail アドレスにメールを送信できません。おそらく、jail.conf にいくつかの設定がありません。

これが私のjail.confファイルの一部です：

私はすでに試しmta = postfixましたが、うまくいきませんでした。

よろしくお願いします。

編集：私はそれを機能させることができました。上記の構成はどれも、fail2ban v0.8.10 と Linux CentOS 6 では正しくありません。実際、上記のすべての行 (ゴミ) を削除しました。

/etc/fail2ban/action.d/mail.conf ファイルで定義済みのアクションを見つけました。このアクションは、サーバーで機能する「mail -s」コマンドを使用していることに気付きました。そこで、jail.conf ファイルでこのアクションを次のように使用することにしました。

fail2ban からメールを受け取るために変更する必要があるのは、「アクション」の下に「メール」で始まる行を追加することだけです。とてもシンプルで簡単です。

関連する fail2ban ログ エントリを、特定のインシデントについて既に受信した通知メールに追加したいと思います。

これを行う方法を知っている人はいますか？

ansibleを使用してさまざまなサーバーでinstall fail2banを使用したいのですが、ansibleはすでにインストールされてセットアップされています（他の誰かがこれを行っています）が、私の主な問題はプレイブックの作成方法を理解しようとすることです（私が正しければfail2banをインストールします）サーバーの範囲全体で）。

ああ、手動で fail2ban をインストールした以前のマシンの jail.conf ファイルも使用しています。設定 (禁止する時間、ホワイトリストに載っている人など) をすべてのサーバーで同じにしたいからです!

初めての投稿なので忘れ物などありましたらお手柔らかにお願いします！

私はfail2banを初めて使用し、セットアップを考えているさまざまな構成のパフォーマンスに関する考慮事項を理解するのに苦労しています。これはラズベリー パイ ボード上で実行されているため、パフォーマンスが懸念されます。

私が考えることができる明らかな最適化は、効率的な正規表現を使用し、必要な刑務所の数を最小限に抑えることです。私の具体的な質問は次のとおりだと思います。

1. findtime 値に関して、リソース使用量はどのように増加しますか? 非常に小さい値と非常に大きい値の両方が、RAM と CPU に関してさまざまな方法でサーバーに影響を与える可能性があると思います。
2. 同様に、ログ ファイルのサイズと、fail2ban によって監視されるさまざまなログ ファイルの数は、全体的なリソースの使用にどのように影響しますか?

例として、この監獄では、誰かが fail2ban 構成を見つけ出し、スクリプトのタイミングを調整して対応した場合、1 日に 3,600 の SSH ログイン パスワードを試すことができます。

findtime を別の極端な 86400 (1 日) に変更すると、1 日に 5 回しか試行できなくなりますが、ログ ファイルの大部分を監視するようになります。これはリソースの使用にどのように影響しますか?

別の例として、POST フラッド攻撃の刑務所:

ここでは逆で、findtime カウンターが 10 秒ごとにリセットされます。また、すべての *アクセス ログを監視しています (これも初めてのことだと思います)。これは、access.log、other_vhosts_access.log、およびおそらくサイトの https 部分の https_access.log を監視していることを意味している可能性があります。忙しい 1 日で、これらのファイルがすべて 10 ～ 20 MB の場合はどうでしょうか。

これが私の心にあることを説明するのに役立つことを願っています. よろしくお願いします。

Linux サーバー バージョンRHEL5.4に fail2ban をインストールしました。jail.conf で説明されているように、最大​​再試行制限後に IP をブロックしません。fail2ban を再起動しようとすると、次のエラー メッセージが表示されます。

さらに多くのことを試しましたが、上記の問題を解決できませんでした。以下は、jail.conf ファイルの ssh 刑務所です。

? 問題がどこにあるのか、誰でも提案できます。

Fail2Ban の exim フィルターの正規表現条件を作成しようとしています。Exim ログには、次のようなエントリがあります。

2014-11-27 17:09:05 [42.117.255.244] からの SMTP 接続 (TCP/IP 接続数 = 1)

2014-11-27 17:09:14 [118.68.249.18] からの SMTP 接続 (TCP/IP 接続数 = 2)

2014-11-27 17:09:15 [113.188.85.220] からの SMTP 接続 (TCP/IP 接続数 = 3)

したがって、exim ログを分析する正規表現フィルターが必要です。TCP/IP 接続数が 3 を超える場合、fail2ban は、fail2ban 構成で指定された時間だけその IP をブロックします。

私がこれまでに試したことは、次のようなものです。

failregex = ^%(pid)s \S+ [](:\d+) からの SMTP 接続? (I=[\S+]:\d+ )?(TCP/IP 接続数 = "\S+")\s*$

しかし、それは失敗します...私は正規表現が得意ではないので、あなたの助けが必要です.

ありがとうございました！

cphulkd は ips を禁止しないため、私のシステムで私の許可なしに実行されている持続的な海外ネットワーク攻撃により、fail2ban をインストールするようになりました。歓迎されない侵入の試みについて、いくつかのサービスを監視しています。サービスが開始されると、非常に高い CPU リソースを使用していることに気付きました。起動後の 22 通の電子メールで、SSH サーバーの jail が停止され、起動されたことが明らかになりました。

ここに私のfail2ban.confがあります http://pastebin.com/ptCLmpqm

私の jail.conf http://pastebin.com/KDdmTSCL セキュリティとスパムの明らかな理由から、私の電子メールは隠されていることに注意してください

fail2ban ログの貼り付け (ドット) com/rq0cqm9J

私はすでにこの質問をグーグルで検索しましたが、役立つものは何も見つかりませんでした。

fail2ban ログの視覚的表現/グラフィックを表示できるツールを知っている人はいますか?