当我给/etc/csf/csf.pl -r ,我看到许多线条正在刷新,然后我又开始收到通知电子邮件(每天几封电子邮件),例如:
Time: Wed Sep 12 08:39:47 2012 +0800 IP: 221.13.104.162 (CN/China/-) Failures: 5 (sshd) Interval: 300 seconds Blocked: Permanent Block Log entries: Sep 12 08:39:25 MyHost sshd[9677]: Failed password for root from 221.13.104.162 port 51106 ssh2 Sep 12 08:39:28 MyHost sshd[9712]: Failed password for root from 221.13.104.162 port 51690 ssh2 Sep 12 08:39:32 MyHost sshd[9739]: Failed password for root from 221.13.104.162 port 52128 ssh2 Sep 12 08:39:36 MyHost sshd[9778]: Failed password for root from 221.13.104.162 port 52670 ssh2 Sep 12 08:39:40 MyHost sshd[9821]: Failed password for root from 221.13.104.162 port 53155 ssh2
然后大约30天后,电子邮件停止来了,就好像有东西已经填满了,并且需要再次冲洗。
我对CSF / LFD知之甚less,但是我想这是以FIFO的方式工作的,所以它应该能够在有限的空间内无限期地运行。
我的/etc/csf/version.txt说4.83
我的猫/ proc /版本说Linux version 2.6.18-028stab066.8 (root@rhel5-64-build) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Fri Nov 27 20:19:25 MSK 2009
默认情况下,login失败守护进程(LFD)将暂时阻止一个IP,以便在永久阻止该IP之前试图暴力破解一个服务。 据推测,在这一点上,你将不再看到通知电子邮件临时块。 相关设置在csf.conf中。 寻找“LF_PERMBLOCK”。 另外,FIFO的想法是正确的。 CSF将阻塞达到由configuration指令DENY_IP_LIMIT和DENY_TEMP_IP_LIMIT确定的IP的最大数量,此时最老的(第一)被阻止的IP将被解除阻塞,以利于最新的罪犯。
我相信CSF的重新启动将清除LFD块列表。
我build议您阅读configuration脚本并查看日志,以确认发生了什么。
资料来源: http ://configserver.com/free/csf/readme.txt,http://www.configserver.com/free/csf.tgz中的csf.conf