伙计们,我运行的是 CentOS5.6(最终版本),并且我刚刚安装了 FAIL2BAN 版本(0.8.4-23.el5)。
我已经将其设置为禁止 SSH 和 VSFTPD 攻击。
正如您在此处看到的:http://pastebin.com/RLyzGgBefail2ban 已正确启动,正在检查 2 个日志文件。我检查了路径,两个都是正确的。
现在fail2ban已经阻止了一些SSH入侵者,但它似乎不想阻止VSFTPD入侵者。
当我实时检查 vsftpd 日志时,有些 ip 每秒都会用错误登录信息攻击我的服务器。所以这些人应该已经被禁止了。
我使用以下命令测试了 fail2ban 的 vsftpd 功能:fail2ban-regex /var/log/vsftpd.log /etc/fail2ban/filter.d/vsftpd.conf
一切似乎都运行良好,测试输出:http://pastebin.com/gQsLjZhX
我已经尝试过:use_localtime=YES在dual_log_enable=YESvsftpd.conf 中
fail2ban.conf:http://pastebin.com/rQadAxXc
jail.conf:http://pastebin.com/u5ePLXMQ(vsftpd 部分)
failregex = vsftpd(?:\(pam_unix\))?(?:\[\d+\])?:.* authentication failure; .* rhost=<HOST>(?:\s+user=\S*)?\s*$
\[.+\] FAIL LOGIN: Client "<HOST>"\s*$
有人知道为什么 fail2ban 没有禁止我的 vsftpd 攻击者吗?
答案1
我设法通过使用 /var/log/secure 来使其工作,也用于 VSFTPD 日志读取。虽然正常的 VSFTPD 日志也应该可以工作,因为它们输出类似的数据。这里真正的问题一定是 failregex。但使用 /var/log/secure 它可以工作。