我想知道是否有可能在不同的机器上有fail2ban客户端,并在一台机器上有一台服务器与所有的客户端通信? 这是我的情况:我有4台服务器,我正在使用fail2ban来保护它们。 现在我有一台机器安装了一台客户机和一台服务器。 我想知道在每台机器上是否只能有一个客户机,并且在一台机器上只能有一台服务器与所有客户机通信。 所有的服务器都在CentOS上运行,我正在使用iptables来禁止。 你有什么想法如何做到这一点?
有一个程序parsingfail2ban.log并产生一些统计数据? 或者我应该为我们的主机写出一些自定义的东西? 我们使用iptables运行Debian和fail2ban。
我们都知道,在fail2ban看完一个日志文件后,会等待1秒,问题是在这段等待时间内,攻击者会发起大量的攻击。 那么我们怎样才能消除这个等待时间?或者其他fail2ban的替代scheme,这将提供比fail2ban更多的function。
我有fail2ban和运行,但我的Failregex不匹配任何东西,有些事情是错误的。 要求禁止的请求如下所示: 186.6.65.199 – – [06/May/2013:18:46:21 +0400] "GET / HTTP/1.1" 200 10488 "coolsearch37845.com/b/eve/618aef08…… 186.6.65.199 – – [06/May/2013:18:46:21 +0400] "GET / HTTP/1.1" 200 10531 "liteapps.mcafee.com……. 186.6.65.199 – – [06/May/2013:18:46:21 +0400] "GET / HTTP/1.1" 200 10531 "jfueznxchgsef.pl…… 我到目前为止: /etc/fail2ban/filter.d/apache-attackers.conf: failregex = <HOST> – – [[^]]+] "GET / HTTP/1.1" /etc/fail2ban/jail.local: [apache-attackers] enabled = true port = http,https filter […]
我厌倦了这个糟糕的机器人,蜘蛛,爬行器和收割机。 我已经configuration我的服务器阻止连接IP 5分钟和maxretry 250使用fail2ban。 但是仍然有一部分人在250分钟内无法拦截,因为他们在5分钟内没有访问250个以上。 这是我的jail.localconfiguration: [http-get-dos] enabled = true filter = http-get-dos logpath = /var/log/ispconfig/httpd/*/access.log maxretry = 250 findtime = 300 #ban for 10 hours bantime = 36000 action = iptables-multiport[name=HTTP, port="http,https", protocol=tcp] cloudflare-blacklist sendmail-whois[name=HTTP, [email protected]] 这里是http-get-dos.conffilter文件: [Definition] failregex = ^<HOST> -.*"(GET|POST) ignoreregex = 可以阻止这个爬虫的教程的大部分是使用Apache。 但是因为我使用nginx,所以我不能使用它们。 这是我find的一个教程 。 这里是这个机器人的例子日志: 220.225.127.41 – – [24/Jul/2013:00:00:19 +0800] […]
Fail2ban似乎不会永久封锁。 我有bantime = -1,但如果我看我的iptables稍后它只是不再有所有不好看到的是 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all — 0.0.0.0/0 0.0.0.0/0 为什么会发生这种情况,如果我把它设置为-1,还有什么我需要configuration?
所以我在我的Debian 7服务器上设置了fail2ban,但是我一直受到很多打击,我不知道为什么不能正确阻塞。 正则expression式的工作,它承认尝试,但它似乎插入的iptables规则不会工作,这是它看起来如何iptables输出看起来fail2ban试图阻止。 Chain INPUT (policy ACCEPT) num target prot opt source destination 1 fail2ban-courierauth tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 2 fail2ban-couriersmtp tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 3 sshguard all — 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination […]
fail2ban禁止我的SSH的SSH。 在我收到的电子邮件中说,经过5次针对SSH的尝试,我通过fail2ban被禁止。 这甚至不是真的我甚至没有login到SSH。 我仍然可以访问webmin。 我closures了fail2ban,仍然是一样的。 对于iptables -L它显示了这一点。 Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-SSH tcp — anywhere anywhere tcp dpt:ssh Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-SSH (1 references) target prot opt source destination RETURN all — anywhere anywhere […]
我有/var/log/syslog/YYYY-MM-DD/file.log文件的日志。 新的目录是由rsyslog自动创build的,日志会自动放到新的位置。 每天,我将日志的前一天存档到另一个目录,因此,除了5分钟的时间,/ var / log / syslog /中只有一个子目录。 在此基础上,我使用了以下的fail2ban规则: logpath = /var/log/syslog/*/auth.log 哪个工作。 直到午夜,fail2ban仍然在“监听”以前的日志。 我可以重新加载fail2banconfiguration,但这使我失去了现有的禁令。 所以问题是 – 可以做什么使fail2ban切换到新的日志,而不会丢失现有的禁令? 我也尝试使符号链接/ var / log / syslog /今天指向当前日志,并将fail2ban指向/var/log/syslog/today/auth.log,但后来我得到了日志: Jan 8 00:05:46 xxxx fail2ban.filter : ERROR Unable to open /var/log/syslog/today/auth.log Jan 8 00:05:46 xxxx fail2ban.filter : ERROR [Errno 2] No such file or directory: '/var/log/syslog/today/auth.log' Traceback (most recent […]
我一直在RHEL上成功运行fail2ban。 现在突然启动,停止并通过/etc/init.d/fail2ban重新启动不再起作用: # /etc/init.d/fail2ban start Starting fail2ban: [ OK ] # service fail2ban status Fail2ban (pid 31808) is running… ERROR Unable to contact server. Is it running? # /etc/init.d/fail2ban stop Stopping fail2ban: [FAILED] 但是,如果我这样做,它的工作原理: # /usr/bin/fail2ban-client start 2014-02-11 15:46:13,863 fail2ban.server : INFO Starting Fail2ban v0.8.4 2014-02-11 15:46:13,863 fail2ban.server : INFO Starting in daemon mode # […]