问题标签 [fail2ban]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linux - 多次尝试后Fail2Ban无法阻止ip
我已经在我的 Linux 服务器版本RHEL5.4上安装了 fail2ban 。在 jail.conf 中描述的最大重试限制后,它不会阻止 IP。当我尝试重新启动 fail2ban 时,我收到以下错误消息。
我尝试了更多但未能解决上述问题。以下是 jail.conf 文件中的 ssh 监狱。
任何机构都可以提出问题出在哪里。?
regex - EXIM 的 Fail2Ban 正则表达式(TCP/IP 连接计数)
我正在尝试为 Fail2Ban 的 exim 过滤器创建一个正则表达式条件。在我的 exim 日志中,我有这样的条目:
2014-11-27 17:09:05 来自 [42.117.255.244] 的 SMTP 连接(TCP/IP 连接数 = 1)
2014-11-27 17:09:14 来自 [118.68.249.18] 的 SMTP 连接(TCP/IP 连接数 = 2)
2014-11-27 17:09:15 来自 [113.188.85.220] 的 SMTP 连接(TCP/IP 连接数 = 3)
所以我需要一个正则表达式过滤器来分析 exim 日志,如果 TCP/IP 连接计数 > 3,那么 fail2ban 将在 fail2ban 配置中指定的时间内阻止该 IP。
到目前为止,我尝试过的是这样的:
failregex = ^%(pid)s 来自 \S+ [](:\d+) 的 SMTP 连接?(I=[\S+]:\d+ )?(TCP/IP 连接数 = "\S+")\s*$
但它失败了......我不擅长正则表达式,所以我需要你的帮助。
谢谢!
apache - 如何使用fail2ban添加非永久禁止ip apache
我可以在我的 apache 错误日志中看到一个 IP 尝试定期访问一个不存在的文件。Fail2ban 不会自动禁止这个 ip,因为请求的频率太慢了。
1)那么如何手动将此IP添加到fail2ban的非永久禁止列表中?也许还有其他工具/方法在 X 小时内禁止 IP(X 参数化)?
2) 我在哪里可以查看被fail2ban 实际禁止的IP 的完整列表?
谢谢。
date - 由于纪元日期时间检索错误,fail2ban 的 CPU 使用率高 130%
由于 cphulkd 不禁止 ips,因此未经我的许可在我的系统上执行持续的海外网络攻击倾向于我安装 fail2ban。我正在监视一些不受欢迎的渗透尝试的服务。服务启动后,我注意到它使用了极高的 CPU 资源。启动后的 22 封电子邮件透露 SSH 服务器监狱已停止并启动。
这是我的fail2ban.conf http://pastebin.com/ptCLmpqm
我的 jail.conf http://pastebin.com/KDdmTSCL 请注意,由于明显的安全和垃圾邮件原因,我的电子邮件被隐藏了
fail2ban 日志 pastebin(dot)com/rq0cqm9J
apache - fail2ban apache-auth 过滤器未检测到失败的密码
我无法让 fail2ban 检测失败的 apache-auth 尝试
过滤器如下所示:
以及出现的错误:
两者都不能正常工作。我想让它们重新编写,以便它们可以工作,但我无法弄清楚过滤器是如何工作的,而且谷歌搜索并没有让我到任何地方。大多数指南都假定我理解正则表达式,但我不知道。
谁能解释(或链接到)过滤器中的这些参数的含义,以便我可以自己修改它?
linux - fail2ban 日志的可视化表示
我已经用谷歌搜索了这个问题,但找不到任何有用的东西。
有没有人知道一个工具可以让你看到fail2ban日志的可视化表示/图形?
performance - 优化防火墙规则处理
我正在使用 fail2ban 来阻止我的服务器上失败的登录尝试。使用具有以下配置的 IP 表执行该块:
我关心的是规则处理性能。上述规则处于有状态模式,我一直想知道无状态模式是否会使处理速度更快。为了清楚起见,我在 TCP 端口(例如,22 或 25)上阻止了入侵者 IP 地址。
我在某处读到,专门针对 TCP 连接,添加 ESTABLISHED、RELATED 状态会更好。但是由于每个 IP 都指向不同的连接,那么应用这些状态是否有意义?
更新:
这是一个示例iptables -L:
regex - fail2ban varish 等效于 apache-noscript
目前有一个服务器有 2 个 IP,一个内部和一个外部,外部有 varnish,内部有一个 apache 后端,fail2ban 几乎默认运行。
最近该网站出现故障并返回 503 错误,结果表明 fail2ban 已通过 apache-noscript 规则禁止清漆与 apache 后端通信。此后,我为该 IP 地址添加了一个排除项,因此这不会再次被禁止,但理想情况下,如果客户端将来被禁止,我会更喜欢它。
从 apache 日志
从清漆日志
是否可以仅复制我的 apache-noscript 定义以使用 varnishlogs,即:
成为
我注意到 apache no script filter 有以下 failregex
我想主要问题是这仍然适用于上面输出中的 varnishlog,如果不是我需要什么 failregex?
非常感谢。
[编辑] 事实证明,noscript 禁止但不是针对上述日志条目的巧合。现在为上述日志条目制定一个 fail2ban 正则表达式。
fail2ban - fail2ban:错误没有找到 glob /usr/local/apache/logs*/*error.log 的文件
对于这个问题,我没有任何解决方案。
在我的 jail.conf
在我的系统上,文件存在,/usr/local/apache/logs*/*error.log
尝试 /usr/local/apache/logs/error.log 和其他变体,但不起作用。
在所有情况下,都会收到以下消息:
linux - 了解 netstat 列表和防御 DDOS
我的服务器受到攻击!
当我使用时,netstat -anp | grep :80
我得到以下列表:
有几十行这样的。
请帮助我了解此列表以及如何保护服务器免受发出大量请求的此 IP 的影响。我正在使用针对 DDOS 攻击配置的 fail2ban,但看起来我遗漏了一些东西。
服务器是运行 Ubuntu 12.04 的虚拟机