Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

fail2ban ip bloqueado, mas ainda tentativas de login

tudo parece ok, o iptables mostra o seu bloqueio, mas eu ainda recebo tentativas de autenticação Eu configurei o fail2ban # "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1/8 bantime = 864000 maxretry = 3 [...
21.01.2016 / 02:40
2
respostas

Como usar o fail2ban para banir todos os pedidos php e cgi-bin

Diariamente, vejo o log do Apache cheio de solicitações iniciadas por diferentes aplicativos de varredura de vulnerabilidades. Essas centenas de solicitações, geralmente com os mesmos endereços IP, não apenas deixam o log sujo, mas também usam a...
13.03.2014 / 13:33
1
resposta

Fail2Ban filtro personalizado não aplicado

Eu tentei criar uma regra de cadeia personalizada em fail2ban , mas ela nunca é aplicada. Eu não encontrei essa documentação oficial, posso sentir falta de algo. /etc/fail2ban/filter.d/expressjs.conf [Definition] failregex = .* from...
29.05.2017 / 16:38
2
respostas

Restaure a configuração original do fail2ban no CentOS 7

Instalei o fail2ban da EPEL usando yum install e, em seguida, comecei a estragar a configuração depois de ter esquecido de fazer o backup de /etc/fail2ban . Agora quero a configuração original de volta. Primeiro eu tentei yum reinsta...
05.03.2017 / 00:16
1
resposta

Como usar o Fail2Ban para proteger os aplicativos ProxyPass (ed)

Portanto, configurei recentemente um aplicativo que usa WebSockets e estou usando o proxy do Apache para transmitir o aplicativo por meio de domain.com/application O problema é que o aplicativo é muito bare metal. Ele vem com uma tela de logi...
17.01.2016 / 10:02
1
resposta

Bloqueie conexões ESTABLISHED com firewalld / iptables

Estou executando o firewalld no meu servidor e estou tentando configurar um fail2ban (usando o firewalld) para melhorar a segurança. O problema é: não consigo fazer isso para matar conexões estabelecidas. O Firewalld tem a configuração padrão...
22.09.2016 / 11:59
1
resposta

Fail2Ban monitor HTPasswd / HTAccess

Então eu tentei colocar isso na cadeia.local e reiniciar o fail2ban, mas não vá. [apache] enabled = true port = https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 5 [apache] enabled = true port = https filte...
17.01.2016 / 10:22
1
resposta

Como configurar o destino de email fail2ban globalmente

Gostaria que o fail2ban me enviasse e-mails de alerta para qualquer evento. Parece haver variáveis dest espalhadas pelos arquivos de configuração em /etc/fail2ban e /etc/fail2ban/action.d Existe uma maneira de definir um email de destin...
06.11.2015 / 10:42
2
respostas

Por que o iptables descarta / log mesmo se o pacote apropriado deve ser aceito?

Estou montando um servidor rodando o Debian Jessie com alguns aplicativos como o iptables firewall, o fail2ban, o openvpn, o apache, ... O firewall iptables é configurado no caminho, que registra todos os pacotes que são descartados. Um peque...
02.03.2015 / 21:30
1
resposta

fail2ban com iptables-persistent

Eu venho executando o fail2ban um pouco, e instalei recentemente o iptables-persistent e o estou usando com ipset para uma lista negra (há um IP em particular que está sempre martelando nessa máquina). A ipset / iptables persistência...
19.11.2018 / 19:58