如何让 fail2ban 重新处理日志文件?

如何让 fail2ban 重新处理日志文件?

我已经安装并启动了 fail2ban。查看 apache 和安全日志,显然有很多垃圾邮件。但 fail2ban 尚未阻止任何内容

sudo iptables -L INPUT -v -n | less
fail2ban-client status

我如何重新处理安全和 Apache 日志以禁止过去的黑客攻击?

答案1

由于 Fail2Ban 只是在写入日志文件时查看它们,因此只需重播它们即可。您可以在 fail2ban 运行时通过 cat /path/to/old-log.file >> /path/to/log.file 执行此操作。请注意,这当然会将旧日志文件插入到新日志文件的中间,因此您可能需要在执行此操作之前和之后轮换日志文件。

尽管如此,我认为你很可能“做错了”,因为这不是 Fail2Ban 的设计目的。Fail2Ban 通常会在几分钟后解除 IP 禁令 - 据我所知,它没有内置机制来保存禁令,其手册将其描述为一组用于限制暴力身份验证尝试的服务器和客户端程序。- IE 并非为长期封禁而设计的 - 也不应该如此,因为攻击者的 IP 地址会发生变化,您很可能会拒绝向合法用户提供服务。(它旨在减缓暴力攻击 - 暴力攻击的时间相差 1800 倍,暴力攻击的速度为 15 分钟内破解 5 个密码,每秒破解 10 个密码。

相关内容