Perguntas sobre 'fail2ban'

___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

filtro personalizado para Fail2Ban

Instalei o fail2ban e estou tentando configurá-lo para bloquear endereços IP que aparecem em uma determinada mensagem que aparece no syslog. A mensagem no syslog é: racoon: ERROR: Invalid exchange type 243 from 103.14.62.181[11950] Norm...
04.03.2014 / 06:15
1
resposta

Maximum bantime with fail2ban

Estou usando fail2ban/firewalld para restringir o acesso semelhante a bot a um servidor Nginx . Normalmente, a configuração da cadeia correspondente é semelhante a: [nginx-botsearch] #banaction = iptables-multiport enabled = true filter...
23.09.2017 / 00:49
2
respostas

Devo usar o Firewalld ou o Iptables para o Fail2ban no Centos 7?

Estou configurando o Fail2ban para proteger o ssh e uso o firewalld Eu vi muitas pessoas recomendando usar anaction = iptables-multiport e outras soluções usando iptables em vez de firewalld, alegando que é mais rápido ou consome menos recurs...
04.02.2016 / 22:33
1
resposta

Qual é o propósito da diretiva _daemon no fail2ban?

Alguns dos filtros que vêm com fail2ban têm uma diretiva _daemon , mas não há menção a ela no documentação e nenhuma referência a ela em nenhuma das minhas definições de prisão. Para quê?     
29.12.2014 / 15:50
1
resposta

Fail2ban - Como redefinir o contador no login de sucesso

Gostaria de redefinir os contadores fail2ban em um evento de login bem-sucedido. Minhas configurações atuais de prisão são: maxretry = 5 bantime = 600 findtime = 3600 Na verdade, se John (10.0.3.21) falhar 4 vezes, então se conectar c...
13.01.2017 / 19:45
2
respostas

Por que o iptables não está bloqueando um endereço IP? (Versão LB / proxy)

AVISO: Longo. Muita informação aqui. Há 3 anos alguém perguntou Por que o iptables não está bloqueando um endereço IP? ? e descobriu-se que o motivo era porque os servidores estavam por trás do CloudFlare, o que tornava impossível bloquear...
08.11.2016 / 18:23
1
resposta

Como usar o fail2ban para analisar o log de acesso do Nginx para contar endereços 404 e banir ip?

Como posso usar o fail2ban para analisar o log de acesso do Nginx para contar os números 404 e 502 e proibir endereços IP com muitas solicitações?     
05.04.2011 / 16:39
0
respostas

Você pode alterar a mensagem de log do fail2ban?

Eu tenho o fail2ban rodando em um servidor centos 6.8; tudo está bem. Escrevi um filtro simples para observar as kiddies de script, como: [Definition] failregex = <HOST> .*GET \/admin/config.php <HOST> .*GET \/blog\/...
19.04.2017 / 20:26
3
respostas

Fiz fail2ban enviar notificação para parte banida

Eu tenho fail2ban configurado em alguns servidores CentOS 5 e 6, e ele me envia um e-mail com um whois do IP sempre que um IP é banido. É possível configurar o fail2ban para também enviar uma notificação para o email do relatório whois? Aqu...
14.11.2012 / 21:23
2
respostas

Erro de logrotate para o fail2ban

Eu recebo o seguinte erro ao executar um cron job, e não tenho certeza de como corrigi-lo. Isso é no Ubuntu 12.04 LTS. test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily ) /etc/cron.daily/logrotate: error: erro...
19.05.2013 / 21:33