Pelo que entendi, fail2ban
ignora todas as entradas de log que são mais antigas que findtime
para uma jail (o padrão é 600 segundos).
Após perceber tentativas repetidas de acessar supostos recursos do webadmin no meu servidor em blocos pelos mesmos ips (isto é, tentativas repetidas de cada ip em uma longa lista de recursos webadmin 'comuns' do servidor, por exemplo / phpmyadmin, / mysql, etc.) , Eu configurei um filtro customizado fail2ban (e jail) que foi testado com sucesso em fail2ban-regex no meu apache2 / access.log, mostrando 55 'hits' (parece correto sem verificar):
[INCLUDES]
before = apache-common.conf
[Definition]
failregex = '^<HOST> - - .*"GET \/phpmyadmin|"GET \/phpMyAdmin|"GET \/pma\/|"GET \/myadmin|"GET \/admin|"GET \/mysql.*$'
ignoreregex = ''
O fail2ban.log mostra a nova cadeia carregada. No entanto, nenhum dos vários ips ofensivos no apache2 / access.log atual é listado no fail2ban.log após a reinicialização.
Meu entendimento do f2b é que ele bane os logs atuais sem esperar por novas entradas de log.
Isso indica que o novo filtro e a cadeia não estão funcionando como planejado?
Obrigado!
Tags fail2ban