-1

为了为 xrdp 攻击配置 fail2ban,我需要一些正则表达式的帮助。

/var/log/xrdp.log我可以看到:

[20201229-12:24:42] [INFO ] Socket 12: AF_INET6 connection received from ::ffff:82.74.118.114 port 55267

所以在jail.conf我添加:

[rdp]
enabled = true
filter = rdp
action = iptables-multiport[name=rdp, port="3389,3390,3391", protocol=tcp]
logpath = /var/log/xrdp.log
maxretry = 5

filter.d/rdp.conf写道:

[Definition]
failregex = connection received from ::ffff:<HOST> port
ignoreregex =

显然我的正则表达式很糟糕......

有人能帮我吗 ?谢谢

4

1 回答 1

0

您的 failregex 是多余的,因为<HOST>它是 pattern 的别名(?:::f{4,6}:)?(?P<host>\S+),其中包括该::ffff:部分。此外,fail2ban 的默认日期模板不支持日志中的日期格式,因此您必须设置自定义日期模式。

[Definition]
failregex = connection received from <HOST>
ignoreregex =
datepattern = %%Y%%m%%d-%%H:%%M:%%S

根据经验,您应该始终使用该fail2ban-regex工具测试您的日期模式和正则表达式。

于 2021-01-03T16:59:21.547 回答