我正在运行Varnish的Web服务器上安装fail2ban。 许多“监狱”需要访问Apache / PHP错误日志。 我遇到的一个问题是,日志文件中的IP地址的所有引用都是127.0.0.1。 我通过运行以下命令解决了有关access.log的这个问题: varnishncsa -a -w /var/log/varnish/access.log -D -P /var/run/varnishncsa.pid 是否有可能做类似的日志中出现:/var/log/apache/*_error.log? 谢谢
我从centos / epel安装了最新的fail2ban我已经在jail.local中添加了ssh启用选项。 我已经尝试了行动和baxction = firewallcmd-ipset没有任何区别。 iptables-multi最初是在configuration中,我改变了,我发现它不禁止。 我已经尝试列出iptables规则以及firewall-cmd –list-all-zones,没有列出任何东西。 禁令也有一些已经被禁止的信息。 通知[sshd] 61.174.51.204已被禁止
在过去的48小时内有3次,我们大约有6X的通话量持续了几个小时。 服务器每次处理它,但几乎没有。 这几乎是所有不好的僵尸stream量(或者可能是DOS尝试失败)。 我需要设置某种types的墙,以便在发生这种情况时自动阻止此操作(而不是在第二天手动通过日志)。 当然,fail2ban在我的search中出现了很多,但我找不到任何好的例子或文档来知道它是否适合我。 我需要为apache实现一个filter,忽略大部分日志,具体取决于请求的URL以及用户代理的正则expression式。 然后才开始确定一个IP是否太多了。 问题是,我不能只使用一个简单的阈值禁止IP地址。 每一个合法的页面请求都会紧接着很多其他请求来支持内容(GET / images / …; GET / extensions / …; GET / skins / …)在2秒钟内几乎会抓住所有人。 我需要从任何计算中过滤这些条目,并只计算顶级请求。 但即使我只是看看顶级请求(所以现在也许我10分钟内禁止20个请求),那么我的问题是,我可以轻松地阻止抓取工具,我很乐意为页面提供服务(GoogleBot ,Slurp等),所以我也希望它跳过这些。 是Fail2Ban或任何其他产品在那里强大? 我可以用两个grep -v语句快速获得需要的信息,但是有没有现有的程序已经这样做?
我在我的服务器上安装了fail2ban。 无论如何,我已经看到Fail2ban日志上的这个错误…这是什么意思? 这是错误 2015-02-09 06:11:21,076 fail2ban.filter [23563]: INFO [apache-noscript] Found 218.76.103.111 2015-02-09 06:11:21,079 fail2ban.filter [23563]: INFO [apache-noscript] Found 218.76.103.111 2015-02-09 06:11:22,792 fail2ban.filter [23563]: INFO [apache-noscript] Found 218.76.103.111 2015-02-09 06:11:22,794 fail2ban.filter [23563]: INFO [apache-noscript] Found 218.76.103.111 2015-02-09 06:11:22,795 fail2ban.filter [23563]: INFO [apache-noscript] Found 218.76.103.111 2015-02-09 06:11:24,075 fail2ban.actions [23563]: NOTICE [apache-noscript] Ban 218.76.103.111 2015-02-09 06:11:24,414 fail2ban.action [23563]: […]
以前我有一个CentOS 6.5与Iptables和我configuration一些监狱为Nginx的build议在这里: 如何使用Nginx的fail2ban? 。 但现在我在CentOS 7中,试图使用新的防火墙和最新的fail2ban。 我知道有一个新的firewallcmd-ipset.conf 。 但是我想知道上面的链接的代码应该如何适应新的防火墙和新的fail2ban。 看着firewallcmd-ipset.conf它似乎也期望variablesport和name 。 所以也许就像用firewallcmd-ipsetreplaceiptables-multiport一样简单。 思考? 提前致谢,
我正在使用shorewall和我的Fedora 21服务器和云使用fail2ban。 所有充斥着以下错误信息: SELinux is preventing shorewall from write access on the file /tmp/fai2ban*.[stderr|stdout] (deleted). For complete SELinux messages. run sealert -l … 当然,fail2ban显示IP被禁止,但shorewall并不实际禁止它。 在指定文件上运行sealert -l将不会产生任何内容,因为该文件被删除。 当我试图使相关的政策有效时也是如此: [root@fedora server]# semodule -i shorewall.pp libsepol.print_missing_requirements: shorewall's global requirements were not met: type/attribute shorewall_t (No such file or directory). libsemanage.semanage_link_sandbox: Link packages failed (No such file or directory). […]
所以我们的服务器设置如下所示: www <-> nginx <-> backend services 内部服务需要授权,如果用户令牌不正确等等,则内部服务通常会失败,并有403。 现在,我们还使用fail2ban ,它关注nginx的error.log文件中的某些内容,并在一定时间内禁止IP。 我想在这里实现的是当后端服务返回一个403时,nginx会logging一个错误,所以如果有多余的403的fail2ban可以在接下来的十分钟左右禁止IP地址。 目前,如果后端服务响应403,nginx不会logging任何内容到error.log文件。 如何做到这一点? 谢谢。
我在我的Ubuntu服务器(14.04 LTS)上使用了Fail2Ban,并且大部分工作正常。 我最近注意到/etc/fail2ban/filter.d/sshd.conf中的默认正则expression式与某些失败的sshdlogin尝试不匹配。 这是来自/var/log/auth.log的典型行 Sep 28 12:03:01 dv1 sshd [30636]:从14.160.56.206端口的root用户失败密码51248 ssh2 当我尝试fail2ban-regex,确认这一行不匹配: fail2ban-regex \ 'Sep 28 12:03:01 dv1 sshd [30636]:从14.160.56.206端口的root用户失败密码51248 ssh2'\ '^%(__ prefix_line)sFailed \ S + for。*? 从(?:port \ d *)?(?: ssh \ d *)?(:( ruser。* |(\ S + ID \ S + \(serial \ d + \)CA)?\ S +%(__ md5hex)s ,客户端用户“*”,客户端主机“*”)?))?\ s * $' […]
总的来说,我们对fail2ban非常满意,因为它在我们的iptables规则中已经积累了数十个neverdowell IP地址。 不过我注意到下面的规则也出现了: Chain fail2ban-apache-overflows (1 references) target prot opt source destination DROP all — <our-server-hostname> anywhere 我不是很擅长阅读iptables规则,但是我对这条规则的解释是它阻止了所有的外部stream量。 那是对的吗? 为什么会出现在我们的iptables规则集中? (出站stream量实际上并未被阻止。)
我最近在服务器上首次安装了Debian Jessie。 “显而易见”的失败早在这个过程中就已经build立起来了。 这是禁止IP地址,并发送给我的电子邮件好,但基于Apache的不包含任何相关日志文件的摘录。 例如,基于SSH的。 Apache报告示例: 嗨, 之后,IP 193.201.227.112刚刚被Fail2Ban禁止 5次对apache-xmlrpc的尝试。 这里是更多的关于193.201.227.112的信息。 (关于它的信息被删除) 包含IP的行:193.201.227.112位于/home/*/logs/*access.log 问候, 的fail2ban SSH报告示例: 嗨, 之后,Fail2Ban刚刚禁止IP 184.173.26.138 3次反对ssh。 这里是详细的关于184.173.26.138的信息。 (关于它的信息被删除) 在/var/log/auth.log中包含IP:184.173.26.138的行 11月5日08:21:38例如sshd [20158]:无效的用户密码从184.173.26.138端口51131失败的密码ssh2 11月5日08:21:38例子sshd [20158]:错误:收到从184.173.26.138断开连接:3:com.jcraft.jsch.JSchException:身份validation失败[preauth] 问候, 的fail2ban /etc/fail2ban/jail.local解压: action =%(action_mwl)s #JAILS [SSH] enabled = true maxretry = 3 (..) [Apache的XMLRPC] enabled = true 端口= http,https action =%(action_mwl)s filter = apache-xmlrpc logpath = /home/*/logs/*access.log […]