問題タブ [fail2ban]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

261 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
820 参照

linux - 複数回試行した後、Fail2Ban は IP をブロックできません

Linux サーバー バージョンRHEL5.4に fail2ban をインストールしました。jail.conf で説明されているように、最大​​再試行制限後に IP をブロックしません。fail2ban を再起動しようとすると、次のエラー メッセージが表示されます。

さらに多くのことを試しましたが、上記の問題を解決できませんでした。以下は、jail.conf ファイルの ssh 刑務所です。

? 問題がどこにあるのか、誰でも提案できます。

0 投票する
1 に答える
1098 参照

regex - EXIM の Fail2Ban 正規表現 (TCP/IP 接続数)

Fail2Ban の exim フィルターの正規表現条件を作成しようとしています。Exim ログには、次のようなエントリがあります。

2014-11-27 17:09:05 [42.117.255.244] からの SMTP 接続 (TCP/IP 接続数 = 1)

2014-11-27 17:09:14 [118.68.249.18] からの SMTP 接続 (TCP/IP 接続数 = 2)

2014-11-27 17:09:15 [113.188.85.220] からの SMTP 接続 (TCP/IP 接続数 = 3)

したがって、exim ログを分析する正規表現フィルターが必要です。TCP/IP 接続数が 3 を超える場合、fail2ban は、fail2ban 構成で指定された時間だけその IP をブロックします。

私がこれまでに試したことは、次のようなものです。

failregex = ^%(pid)s \S+ [](:\d+) からの SMTP 接続? (I=[\S+]:\d+ )?(TCP/IP 接続数 = "\S+")\s*$

しかし、それは失敗します...私は正規表現が得意ではないので、あなたの助けが必要です.

ありがとうございました!

0 投票する
1 に答える
7779 参照

date - エポック日時の取得エラーが原因で、fail2ban の CPU の 130% の高い CPU 使用率

cphulkd は ips を禁止しないため、私のシステムで私の許可なしに実行されている持続的な海外ネットワーク攻撃により、fail2ban をインストールするようになりました。歓迎されない侵入の試みについて、いくつかのサービスを監視しています。サービスが開始されると、非常に高い CPU リソースを使用していることに気付きました。起動後の 22 通の電子メールで、SSH サーバーの jail が停止され、起動されたことが明らかになりました。

ここに私のfail2ban.confがあります http://pastebin.com/ptCLmpqm

私の jail.conf http://pastebin.com/KDdmTSCL セキュリティとスパムの明らかな理由から、私の電子メールは隠されていることに注意してください

fail2ban ログの貼り付け (ドット) com/rq0cqm9J

0 投票する
1 に答える
266 参照

linux - fail2ban ログの視覚的表現

私はすでにこの質問をグーグルで検索しましたが、役立つものは何も見つかりませんでした。

fail2ban ログの視覚的表現/グラフィックを表示できるツールを知っている人はいますか?

0 投票する
1 に答える
800 参照

performance - ファイアウォール ルール処理の最適化

サーバーで失敗したログイン試行をブロックするために、fail2ban を使用しています。ブロックは、次の構成の IP テーブルを使用して実行されます。

気になるのはルール処理性能です。上記のルールはステートフル モードであり、ステートレス モードで処理が速くなるかどうか疑問に思っていました。わかりやすくするために、侵入者の IP アドレスを TCP ポート (22 または 25 など) でブロックしています。

私はどこかで、TCP接続の特別な場合、ESTABLISHED、RELATED状態を追加する方が良いと読みました。しかし、各 IP は異なる接続を参照するため、これらの状態を適用する意味はありますか?

アップデート:

ここにサンプルがありますiptables -L

0 投票する
1 に答える
578 参照

regex - apache-noscript に相当する fail2ban varish

現在、2 つの IP を持つサーバーがあり、1 つは内部に、もう 1 つは外部にニスがあり、内部に apache バックエンドがあり、fail2ban はほとんどデフォルトで実行されています。

最近、ウェブサイトがダウンして 503 エラーが返され、fail2ban が apache-noscript ルールによってワニスが apache バックエンドと通信することを禁止していたことが判明しました。その後、IP アドレスの除外を追加したため、これが再び禁止されることはありませんが、理想的には、クライアントが将来禁止された場合に優先します。

Apache ログから

ワニスログから

私の apache-noscript 定義をレプリケートして varnishlogs を使用しても問題ないでしょうか。つまり、次のようになります。

なる

apache no script filter に次の failregex があることに気付きました

主な問題は、上記の出力の varnishlog でこれが引き続き機能するかということだと思います。

どうもありがとう。

[編集] 偶然にも、noscript が禁止を行ったことが判明しましたが、上記のログ エントリについてはそうではありませんでした。ここで、上記のログ エントリの fail2ban 正規表現を作成します。

0 投票する
0 に答える
5014 参照

fail2ban - fail2ban: エラー グロブ /usr/local/apache/logs*/*error.log のファイルが見つかりません

この問題の解決策はありません。

私のjail.confで

私のシステムには、ファイルが存在します /usr/local/apache/logs*/*error.log

/usr/local/apache/logs/error.log およびその他のバリアントを試してみてください。ただし、機能しません。

どのような場合でも、次のメッセージが表示されます。


12345678910