O interminável jogo de gato e rato do fail2ban

1

Não tenho certeza se é um problema para começar, mas a situação é que execute o Postfix como um servidor de e-mail no meu computador. Quase um ano atrás, por causa de várias tentativas de login com falha, instalei o fail2ban. Faz o seu trabalho. Mas é meio estranho para o meu gosto. Ele bane um IP, depois de algumas horas desarma-lo, depois de meia hora novamente, etc. etc. Alguns bots tentam fazer o login uma vez a cada 20 minutos para escapar da proibição.

A média de carga do servidor parece estar bem. Aproximadamente 0,20

Então, a minha pergunta é ... Será que tudo cai dentro de algo normal ou requer alguma ação da minha parte? Ou uma tentativa de login em 20 minutos é algo tão leve para o servidor, então é melhor ignorá-lo?

    
por papakota 10.10.2016 / 23:39

1 resposta

4

É assim que o fail2ban funciona. Você pode ajustá-lo. Verifique esta postagem no blog

Do blog:

ignoreip = 127.0.0.1/8
bantime = 600
findtime = 600
maxretry = 3

ignoreip - Portanto, adicione os hosts dos quais você geralmente faz login na lista ignoreip, separados por um espaço. Isso significa que o fail2ban não aplicará essas regras ao ip ou rede que você mencionou aqui.

bantime - por quanto tempo você quer banir os endereços IP? O padrão é 600 segundos, o que é um bom ponto de partida. Você sempre pode ajustar isso, se necessário.

findtime - o fail2ban irá banir o IP ou o host se o mesmo host tiver tentativas máximas durante o último findtime. Portanto, se alguém fornecer informações de login inválidas por três vezes nos últimos 600 segundos, elas serão banidas por 600 segundos.

maxretry - número de tentativas de login inválidas antes que um host seja banido. Eu mantenho a 3 mas o padrão é na verdade 6.

    
por 11.10.2016 / 00:07

Tags