服务器 Gind.cn

Articles of fail2ban

什么更好的安全性和性能 – APF或Fail2ban?

我对高级策略防火墙(APF)和Fail2Ban做了大量的研究。 我在SSH蛮力攻击下有一个VPS。 我倾向于APF,只允许我通过几个IP。 但是,我很乐意使用任何iP我想要的便利 – 这可能与Fail2Ban。 由于Fail2Ban扫描日志并写入IP表,有没有人有经验哪一个更好的安全性和VPS性能来节省资源? 我知道他们可以一起工作,但愿意select一个。

fail2ban与vsftpd显式sftp

在vsftpd上启用tls时, fail2ban vsftpd默认configuration不会阻止powershell请求。 目前, vsftpd日志只显示下面的行,不匹配正则expression式。 有没有人有一个良好的正则expression式来照顾禁止? Fri Mar 3 19:56:16 2017 [pid 19866] CONNECT: Client "39.162.209.108" Fri Mar 3 19:56:17 2017 [pid 19868] CONNECT: Client "39.162.209.108"

失败2禁令似乎阻止IP,但请求仍然通过

我有一个规则来阻止对wordpress xml-rpc的过度调用: 过滤: failregex = ^<HOST> .*POST .*xmlrpc\.php.* ignoreregex = 监狱: enabled = true port = http,https filter = php-xmlrpc logpath = /var/log/httpd/access_log maxretry = 6 bantime = 3600 action = iptables[name=PHP_XMLRPC, port=http, protocol=tcp] 这似乎工作,因为我在最近的xml-rpc垃圾邮件攻击期间得到了以下iptables规则: Chain INPUT (policy ACCEPT) target prot opt source destination MANUAL_BANS all — 0.0.0.0/0 0.0.0.0/0 fail2ban-PHP_XMLRPC tcp — 0.0.0.0/0 0.0.0.0/0 tcp […]

使用sendmailconfigurationfail2ban通知(未知用户)

我正试图让fail2ban在IP被禁止时向我发送通知。 但是我在configurationMTA遇到了麻烦。 这是一个非常棘手的任务。 我已经尝试了多个MTA(mailx,exim …),但是我没有configuration任何这些客户端,所以我回到了sendmail。 我有yandex服务器上托pipe的个人域名邮件服务器。 我创build了一个从我的服务器发送邮件的帐户。 所以这里是我的sendmail MTA的configuration。 文件/etc/mail/sendmail.mc # Adding config for yandex (mydomain.net) # define(`SMART_HOST',`[smtp.yandex.ru]')dnl define(`RELAY_MAILER_ARGS', `TCP $h 465')dnl define(`ESMTP_MAILER_ARGS', `TCP $h 465')dnl define(`confAUTH_OPTIONS', `A p')dnl TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl FEATURE(`authinfo',`hash -o /etc/mail/authinfo/yandex-auth.db')dnl 而当我尝试使用此命令发送邮件消息 echo 'e-Mail TEST'| mail -s TEST [email protected] 我得到以下debugging输出 Apr 6 […]

使用Fail2ban自动阻止请求特定URL的IP

从这个问题我跟着这个回答。 我做了一个filter,并在fail2banconfiguration文件中启用它。 这是filter: # Fail2Ban filter to web requests for home directories on Apache servers [INCLUDES] before = apache-common.conf [Definition] failregex = ^<HOST> -.*"(GET|POST).*/wp-login.php/.*$ ignoreregex = Fail2ban无法启动,因为错误(我无法从日志中明确地看到错误),我的语法有什么问题?

关于Fedora 25的fail2ban错误:警告Mutliline正则expression式设置为jail'%s',但maxlines不大于1,ERROR''mdre- <mode >>中没有'host'组

我用最近的sshd.conf文件看到这些错误。 是不是有一个理由让这个mdre-normal事情没有成立? 2017-07-10 10:51:42,218 fail2ban.filter [10436]: WARNING Mutliline regex set for jail '%s' but maxlines not greater than 1 2017-07-10 10:51:42,231 fail2ban.filter [10436]: WARNING Mutliline regex set for jail '%s' but maxlines not greater than 1 2017-07-10 10:51:42,245 fail2ban.filter [10436]: WARNING Mutliline regex set for jail '%s' but maxlines not greater than 1 2017-07-10 10:51:42,255 […]

fail2ban在安装iptables-persistent之后附加到链中

我已经使用了fail2ban了。 今天我想了解更多关于iptables的信息,并发现iptables-persistent。 安装,保存和清理/etc/iptables/rules.v4中的iptables规则看起来像这样 # Generated by iptables-save v1.6.0 on Thu Aug 24 15:18:11 2017 *filter :INPUT DROP [107:22965] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [267:46575] -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -p tcp -m tcp –sport 53 -j ACCEPT -A INPUT -p udp -m udp –sport 53 -j ACCEPT -A […]

Fail2ban发送禁令通知,但实际上并未禁止

所以,我今天在一个IP上testing了ssh上的Fail2ban,而这个IP从来没有连接过服务器。 首先,我在默认的configuration(除了邮件地址)改变的唯一的东西是这里: # Choose default action. To change, just override value of 'action' with the # interpolation to the chosen action shortcut (eg action_mw, action_mwl, etc) in jail.local # globally (section [DEFAULT]) or per specific section action = %(action_mwl)s 而且我应该注意到SSH在一个大于20000的端口上。 现在,发生了什么,经过6次尝试,我得到了我的IP被阻止的邮件。 所以我很高兴。 但后来我试着再次login,具有正确的细节…它的工作。 所以为什么? 什么可能导致这个?

基本的Apache日志正则expression式

我正努力使用仅仅使用HTTP返回代码来匹配Apache日志上的Fail2Ban的failregex 。 我使用的日志格式如下,在这个例子中是显示“200”的字段。 只要其他领域(以这种格式)可以是其他任何东西,那就只是我感兴趣的领域。 66-121-89-14.domain.com – – [14/Apr/2011:14:47:05 +0100] "GET /city/index.html HTTP/1.1" 200 2577 "http://www.domain.com/referrer/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16" 我想我需要这样的东西。 failregex = ^(?P<host>\S*).*("-" "-"| 502 | 500 | 417 | 416 | 415 | 414 | 413 | 412 | 405 | 403 | 一个正则expression式爱好者可以帮忙吗?

我可以使用什么正则expression式来标识nginx日志中的无效文件请求?

我需要帮助为fail2banconfiguration正则expression式。 我使用我的networking服务器主要用于简单的播客文件托pipe,但我看到很多无效的请求在日志中的PHP,ASP和PL文件。 我想configurationfail2ban在日志中查找这些types的无效文件请求。 有一点,我有以下正则expression式string设置为Apache: [[] client []](没有这样的文件或目录脚本未find或无法统计):/\S*(php|mysql|.asp|.exe|.pl) [[] client []] script'/\S*(.php|.asp|.exe|.pl)\S*'not found or unable to stat * $ 这显然不适用于nginx日志。 这是一个不良文件请求的摘录(我改变了path和IP): 2011/05/14 20:38:20 [error] 5349#0:* 828 open()“/example/path/htdocs/administrator.php”failed(2:No such file or directory),client:123.123.123.123 ,server:example.server.com,请求:“GET administrator.php HTTP / 1.1”,主机:“example.server.com” 我可以得到一些帮助制定修正正则expression式string来捕捉这些types的错误? 我想重申,我不主持任何PHP或ASP文件,所以我不太在意这里可能的误报风险。
Intereting Posts
在不可靠的地方build立系统的基本考虑是什么? 使用Google云端本地SSD的慢速Fsync(Postgresql) SID环境中的别名组是什么意思? get-adcomputer错误:运行powershell脚本时出现“Enumeration Context无效” 我如何testing如果postfix真的使用第二个邮件服务器,如果第一个不可用? Kerberized SSH失败 如何将我的Windows DNS从一台服务器移动到另一台服务器? 当我是Windows Server 2003安装的pipe理员时,为什么我的访问被拒绝? 从WinXP PC访问Samba 是否有一个替代xp_cmdshell和networking使用作为一个不同的用户备份MSSQL到UNC 在AD集成区域和较旧的DC上,Windows 2016 DNS策略/分割DNS是否可行? 即使在防火墙允许的情况下,DNS服务器仍被我的路由器阻塞 如何将Acrobat 10.1.1“安装”到Acrobat 10安装点? 使用Gmail从您的PHP发送邮件? 我可以怎样写一个标准的文件到一个目录作为同一个用户,不pipe我写这个文件的用户是哪一个?