我有一个在服务器上运行的docker容器的列表。 其中一个容器(将)fail2ban运行在privileged模式下。 我现在的问题是传递和共享相同的卷(日志文件)通过这些容器,以便它由服务写入和fail2ban读取。 我想知道是否有一种方式与fail2ban从docker logs -f apache数据stream中读取。 这将消除pipe理该日志文件的痛苦,通过容器传递,处理读/写locking以及弄清楚如何旋转它。
我使用xubuntu机器上的默认设置运行fail2ban 。 /var/log包含5个文件: fail2ban.log fail2ban.log.1 fail2ban.log.2.gz fail2ban.log.3.gz fail2ban.log.4.gz 总计大约15 KB。 fail2ban.log.4.gz包含最早的条目,大概要回溯一个月。 看起来像fail2ban会定期删除较旧的日志,所以他们不占用太多的空间,但我想改变这种行为。 这是如何指定的? 最大尺寸,最古老的日志,还是别的? 我在哪里可以configuration行为?
下面是以下内容 visitor –> Cloudflare proxy –> Front –> Back ^^^^^^ –>iptables(fail2ban)–>nginx–> 我想要做的是通过401拒绝追踪bruteforcing IP,并禁止这个IP做任何后续的请求。 FE BE | | .. | | | POST /oauth/token | |——————–>| | 401 (access denied) | |<——————–| .. | | | | 但是,FE上唯一的入站地址是cloudflare的IP,而不是访问者的IP。 因此,我不能通过iptable禁止传入的IP。 我只看到两种方式: configurationnginx使用X-Forwarded-For(或通过cloudflare给出的CF-Connecting-IP addionnally),加上评估401响应加上limit_req(这是否可行?怎么办? 而不是通过fail2ban监测检测到的bruteforcingIP,将其映射到禁止的ip(例如140.1.1.1或非洲的任何IP),并通过nginx上的Deny指令拒绝httpstream量。 其中一个可行的是? 如果不是,可以select吗?
我已经为fail2ban添加了一个xmlrpc监狱,以防止持续的攻击。 apache access.log如下… 191.96.249.80 – – [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.80 – – [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.80 – – [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows […]
我有debian jessie,fail2ban v0.8.13和virtualmin。 我使用iptables,但防火墙D是安装和uinstall也许这是问题….问题是:所有监狱的想法 2017-09-20 11:33:45,474 fail2ban.actions.action [17998]信息提示7f00:“未find命令”。 确保'ipset创buildfail2ban-apache-noscript中的所有命令hash:ip timeout 600 \ nfirewall-cmd –direct –add-rule ipv4 filter INPUT 0 -p tcp -m multiport –dport http,https -m set –match-set fail2ban -apache-noscript src -j REJECT –reject-with icmp-port-unreachable'在fail2ban-server进程的path中(grep -a PATH = / proc / pidof -x fail2ban-server / ENVIRON)。 您可能需要单独启动“fail2ban-server -f”,在另一个shell会话中使用“fail2ban-client reload”启动它,并观察terminal中是否出现其他信息性错误消息。 看起来好像还有一些firewallD的痕迹 – > nfirewall-cmd我已经卸载/安装了fail2ban,并用purge option firewallD卸载。
我正在运行一个Ubuntu 16.04 Web服务器(运行Webmin)。 我也有在我的局域网上的一个单独的服务器上运行的Graylog 。 我想有fail2ban日志本身到/var/log/fail2ban.log 以及我的外部系统日志服务器,但我不知道如何做到这一点。 在fail2banconfiguration文件中,有一个选项可以将logtarget=/var/log/fail2ban.log更改为logtarget = SYSLOG ,但我不确定如何将这些输出转移到其他服务器。
我试图写一个fail2ban正则expression式来捕获任何尝试用户id“administrador”的人。 例如,这个日志条目: Jan 2 09:55:01 mail2 dovecot: pop3-login: Disconnected: user=<administrador>, method=PLAIN, rip=::ffff:201.130.1.218 这是我到目前为止的正则expression式: failregex = (?: pop3-login|imap-login): .*(?:Disconnected: user=\<administrador\>).*rip=(?P<host>\S*),.* 它不捕获上面的日志条目,因为语法是错误的。 谁能帮忙?
基本上现在我们的服务器设置得有点过于安全,fail2ban禁止刚刚浏览网站的用户,即使只有一个丢失的图像。 我需要禁用以下哪项apache设置才能阻止这种情况的发生: [apache] enabled = true port = http,https filter = apache-auth action = iptables[name=httpd, port=http, protocol=tcp] sendmail-whois[name=httpd, dest="%(destemail)s", [email protected]] logpath = /var/log/apache*/*error.log maxretry = 3 [apache-ssl] enabled = true port = http,https filter = apache-auth action = iptables[name=httpd, port=https, protocol=tcp] sendmail-whois[name=httpd, dest="%(destemail)s", [email protected]] logpath = /var/log/apache*/*error.log maxretry = 3 [apache-multiport] enabled = true port […]
我使用基于证书/密钥的ssh身份validation,在非标准端口上运行sshd。 我是否还需要安装denyhosts / fail2ban或基于日志分析的检测? 我有什么优势吗?
看来我的fail2ban不能禁止一个主机: 2013-06-22 18:18:24,546 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-apache-noscript returned 100 2013-06-22 18:18:24,546 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment 2013-06-22 18:18:24,869 fail2ban.actions.action: ERROR iptables -D fail2ban-apache-noscript -s 185.13.228.98 -j DROP returned 100 当我手动使用命令,iptables抱怨: # iptables -D fail2ban-apache-noscript -s 185.13.228.98 -j DROP iptables: Bad rule (does a […]