我们一直在使用fail2ban来阻止失败的ssh尝试。 我想为phpMyAdmin设置相同的东西。 由于phpMyAdmin不loggingauthentication尝试到一个文件(我知道),我不确定如何最好的去做这件事。 是否存在一个插件/configuration使phpMyAdmin日志身份validation尝试到一个文件? 还是有其他地方我应该寻找这样的活动日志? 理想情况下,我将能够find一个只涉及修改fail2banconfiguration的解决scheme,因为我必须在多个服务器上configuration具有相同选项的fail2ban ,并且不希望修改所述服务器上的各种phpMyAdmin安装。
我想添加一个特定的IP列表,我希望在发出几个“GET”请求后从Fail2ban收到一封邮件。 在apache的访问日志中寻找的模式是^ 1.2.3.4 – 。* $,但是fail2ban-regex失败(我不能怪它)说: 无法删除正则expression式。 索引0无效在^ 1.2.3.4 – 。* $中没有“主机”组 无论如何,我可以在自定义filter/监狱中设置“HOST”variables吗?
有人在CentOS 7上成功运行fail2ban ,可以告诉我怎么做吗? 我试着用yum install fail2ban来安装fail2ban并运行它( iptables -L中没有额外的规则,根据我在网上find的,这看起来很奇怪)。 只要我重新启动服务器,我无法通过SSHlogin作为根或其他用户。 扫描时端口不可见,当然我在尝试连接时遇到这个错误: ssh: connect to host XXX.XXX.XXX.XXX port 12321: Connection refused 我改变了SSH端口,但我也尝试了端口22没有运气。 我想知道是否有人知道解决这个问题? 它必须是fail2ban一个问题,因为我没有安装任何其他的东西。 更新我可以在重新启动后通过SSHlogin。 但没有提供HTML页面。 iptables -L输出: 链INPUT(策略ACCEPT)目标protselect源 目的地f2b-sshd tcp – 任何地方任何地方多端口dport ssh接受所有 – 任何地方任何地方ctstate RELATED,ESTABLISHED接受所有 – 任何地方 任何地方INPUT_direct全部 – 任何地方 任何地方INPUT_ZONES_SOURCE全部 – 任何地方 任何地方INPUT_ZONES全部 – 任何地方 随时随地接受icmp – 任何地方都可以拒绝任何地方 拒绝 – 与icmp主机禁止 链FORWARD(政策接受)目标保护select来源 目的地接受所有 – […]
我只是在运行Ubuntu 14.04.1 LTS的服务器上安装了postfix。 我有点困惑,我应该如何解释位于/var/log/mail.log的后缀日志。 首先,我安装postfix的原因之一是,我的cron作业将能够发送给我一个包含任何错误或输出的电子邮件。 发生这种情况时,Gmail似乎阻止了该邮件,因为它认为这是未经请求的电子邮件。 为了testing这个,我设置了一个简单地回应单词test的cronjob。 这是我的cron文件: [email protected] 44 13 * * * echo test 当这个运行时,这是我在后缀日志中看到的: Feb 7 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> Feb 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<[email protected]> Feb 7 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<[email protected]>, size=565, nrcpt=1 (queue active) Feb 7 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable Feb […]
如何configurationfail2ban始终允许来自本地/ NAT ips(即192.168.1.* )的尝试。 我已经尝试将下列条目放入/etc/fail2ban/jail.conf : [DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 192.168.1.* bantime = 600 maxretry = 3 但重新启动后,我有我的/var/log/fail2ban.log下面的警告 警告无法find192.168.1。*的对应IP地址 什么是我想要做的正确的configuration? 请注意,我仍然希望本地主机( 127.0.0.1 )也可以免除。 Ubuntu 9.04
我有一个这样的规则在我的jail.local文件中: [ssh-ddos] enabled = true port = ssh,sftp filter = sshd-ddos logpath = /var/log/messages maxretry = 4 如果我想使用SSH的自定义端口,Fail2ban会自动从我的sshd_config文件中推断出它,还是应该用数字指定端口?
我刚刚安装了一个新版本的iptables,接着是fail2ban,但是fail2ban没有对iptables做任何事情,而且我没有做任何更改,这个fail2ban不能正常工作。 请帮忙吗? 谢谢! 我的iptables -L: http : //pastebin.com/srks3DyH
如果从静态IP连接,是否有任何需要运行fail2ban来保护您的SSH连接? 据我所见,有fail2ban运行意味着你有效地打开端口22给黑客,因为它在你的iptables中放入一个条目,允许来自任何IP的端口22连接。 然后它可能根据你的监狱设置禁止他们,但有没有下面的iptables条目更安全? Chain INPUT (policy ACCEPT) 1 ACCEPT tcp — {**mystaticIP**} 0.0.0.0/0 tcp dpt:22 2 REJECT tcp — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited **OR** maybe this option, with fail2ban, is safer? Chain INPUT (policy ACCEPT) 1 fail2ban-SSH tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 … Chain fail2ban-SSH (1 references) 1 REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with […]
在过去的一天左右,其中一个实例消耗了大量的带宽。 这意味着我们已经接近我们的津贴(大致相同的入境和出境)。 看看日志,我能看到的唯一的事情是在nginx access.log中有相同的文本string,有很多400 172错误。 我已经改变了nginx到不同的端口,实现了fail2ban,但由于stream量来自不同的IP,这是行不通的。 我也有我们的VPS提供商来改变我们的VPS的IP。 Fail2ban目前正在断开所有连接到80端口,这是不理想的,因为我们想要使用这个端口。 我们能做些什么来改善这种状况吗? 如果我们正在降低可疑交通量,这还会计入我们的补贴吗? 更多信息 我设法通过更改nginx错误日志级别获得更多的细节。 似乎正在发生的唯一错误是cleint在读取客户端请求行时发送无效请求。 该域是新的,并没有被使用过(它是一个长期存在的领域之一,一个全新的子域)。 我将检查它是否使用相同的path。 还有什么原因,为什么只是因为入站的数据包被阻止,它的stream量越来越大?
我在两台Centos7机器上安装了fail2ban安装。 我想要保护SSH,所以我安装了(SSH保护似乎活跃),并设置允许的PW失败为5,我离开了在3600秒banntime。 所以我尝试用我的账户login,但多次使用一个错误的密码。 但是我还没有被禁止。 我错过了什么吗? 我是否需要为ldap用户进行特定设置? # # WARNING: heavily refactored in 0.9.0 release. Please review and # customize settings for your setup. # # Changes: in most of the cases you should not modify this # file, but provide customizations in jail.local file, # or separate .conf files under jail.d/ directory, eg: # # […]