問題タブ [fail2ban]

Fail2Ban に問題があります

時間のずれが検査期間よりも大きいため、「ラインを無視」と表示されます。しかし、そうではありません。

実際に 1519352628.0 が 2 月 23 日 10:23:48 から派生したものである場合、もう一方の日付 1519381428.727771 は間違っているに違いありません。

これを繰り返しヒットする「無効なユーザー」のテストを実行しました。しかし、Fail2ban は常にこの行を無視しています。

1 秒以内に Filter Matches を取得していると確信しています。

これは Ubuntu 16.04 と Fail2ban 0.9.3 です。

ご協力いただきありがとうございます。

他の誰かが私と同じ問題を抱えているかどうか、または誰かがそれをデバッグする方法を知っているかどうかを知りたかった:

ブルートフォーサーから保護するために、私の GLPI に接続しようとする人を禁止するにはどうすればよいか、現在調べています。そのため、「Fail2ban」をインストールしました：

しかし、このコマンドでどの行が正規表現と一致するかを確認しようとすると:

結果がありません (0 行が一致しました)。

次に、この正規表現を ignoreregex として試すことにしました。

そして、上記と同じコマンドを作成します ( fail2ban-regex )。20行を「無視」しました[imo、正規表現が問題ないことを証明しています]。

さようなら、curumo29。

fail2ban を 0.9.x から 0.10.x に更新します

その後、私のカスタムフィルターはもう機能しません このフィルターの機能は、Apacheの404ページ（ページが見つかりません）で4回ヒットした後にIPを禁止することです

failregex に問題が見つかりました。

この投稿で、私は新しい文字列を追加する必要があることについて何かを見つけました 。

私の元のファイルはこれです

新しい文字列に関する提案はありますか?

自分のサイトで繰り返される 401 エラーを fail2ban したい

私のログファイルエントリ...

fail2ban conf での私の試み

うまくいかないようです、何かアイデアはありますか？

Traefik の展開で fail2ban を設定することに興味があります。いくつかのスニペットを含む Gistを見つけましたが、それらの使用方法が明確ではありません。どなたか空欄を埋めていただけませんか？または、Traefik で fail2ban スタイルのセキュリティを実装するより良い方法はありますか?

私の質問の目標:

ユーザーを禁止するfail2banを実装します。（これには解決策があります）

作業環境：

• パスワードを使用して ssh-key プロテクトを使用してマシンに接続します
• ユーザーが自分の ssh キーの間違ったパスワードを 3 回入力した場合、攻撃を防ぐために禁止したい

/var/log/messages の Fail2ban 解析ログ。

DEBUG2実際、このログを取得するために /etc/ssh/sshd_config でLogLevel を有効にしました。
Feb 25 09:31:12 ip-10-8-11-126 sshd[12033]: Postponed publickey for USER from IP_ADDRESS port 51134 ssh2 [preauth] Feb 25 09:31:27 ip-10-8-11-126 sshd[12033]: Connection closed by IP_ADDRESS port 51134 [preauth]

DEBUG2/etc/ssh/sshd_config ?
Feb 25 09:31:27 ip-10-8-11-126 sshd[12033]: Connection closed by IP_ADDRESS port 51134 for USER[preauth]

ご協力ありがとうございました ！

バグが発生した場合に備えて、fail2ban のいくつかのバージョンを試しました。

apache-noscript の正規表現が以下の apache エラー ログと一致しません (サーバー バージョン: Apache/2.4.38 (Debian):

[2019 年 7 月 24 日水曜日 14:24:12.697295] [core:info] [pid 33220] [client 55.555.123.123:0] AH00128: ファイルが存在しません: /var/www/domain.name.com/test.asp

インターネットから多くの正規表現を試しましたが、どれも機能していません。fail2ban-regex は、failregex に対して 0 の一致を示します (日付テンプレートの一致は問題ありません)

また、https://regex101.com/サイトを使用してログ行 (1 つずつ) を照合しましたが、刑務所では機能しません:/

日付の正規表現は問題ありません。次の正規表現: [core:info] [pid 33220] [client 55.555.123.123:0]は次の条件と一致します:

[(:?error|\S+:\S+)]( [pid \d+(:\S+ \d+)?])? [クライアント (:\d{1,5})?]

現在、最新バージョンのfail2banを使用しています（confファイルへのリンクはこちら）： https://github.com/fail2ban/fail2ban/blob/0.11/config/filter.d/apache-noscript.conf

どこに問題があるのか​​ 本当にわかりません。上記のApacheログと一致させるには、どの正規表現を使用すればよいですか?

proxysql.log ファイルを監視するために fail2ban をセットアップします。特定のエラーが検出された場合は、SLACK で警告メッセージを送信します。私はcentOS 7.7で実行しており、その後にインストールと構成のドキュメントが続き、「backend = systemd」を設定した場合にのみfail2banを再起動できますが、問題は「logpath」が設定したログファイルを指していないことです. バックエンドを他のものに変更すると、「systemctl restart fail2ban」は常に失敗します。オンラインでいくつか読んで、サーバーにpynotifyとgamin libsをインストールしましたが、それでも同じ問題です。だから、私が今抱えている問題を解決するのを手伝ってくれる人たちに助けを求めています.

私が今持っているのは次のとおりです。

1. jail.conf は、proxysql という名前の刑務所を 1 つ設定します
2. failregex の filter.d フォルダーにフィルターを用意します。
3. SLACK にメッセージを送信するための action.d フォルダーにアクションがあります。

このタイプのログに従って大量のログインをブロックする Apache のルールを作成したいと思います。

私が必要とする正確な正規表現は何ですか? 私はこれを使用します：

前もって感謝します

failregex フィルターは fail2ban のどこに配置すればよいですか? 私はそれをjail.localに入れますか、それとも他の場所に置きますか? ubuntu 18.04を実行しています