当我给予时/etc/csf/csf.pl -r
,我看到很多行刷新,然后我再次开始收到通知电子邮件(每天几封电子邮件),例如:
Time: Wed Sep 12 08:39:47 2012 +0800
IP: 221.13.104.162 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked: Permanent Block
Log entries:
Sep 12 08:39:25 MyHost sshd[9677]: Failed password for root from 221.13.104.162 port 51106 ssh2
Sep 12 08:39:28 MyHost sshd[9712]: Failed password for root from 221.13.104.162 port 51690 ssh2
Sep 12 08:39:32 MyHost sshd[9739]: Failed password for root from 221.13.104.162 port 52128 ssh2
Sep 12 08:39:36 MyHost sshd[9778]: Failed password for root from 221.13.104.162 port 52670 ssh2
Sep 12 08:39:40 MyHost sshd[9821]: Failed password for root from 221.13.104.162 port 53155 ssh2
大约 30 天后,电子邮件就不再发送,就好像有什么东西被填满了,需要再次冲洗。
我不太了解 CSF/LFD,但我认为它会以 FIFO 的方式工作,因此它应该能够在有限的空间内无限期地运行。
我的 /etc/csf/version.txt 说4.83
我的 cat /proc/version 说Linux version 2.6.18-028stab066.8 (root@rhel5-64-build) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Fri Nov 27 20:19:25 MSK 2009
答案1
默认情况下,登录失败守护进程 (LFD) 只会在永久阻止该 IP 之前暂时阻止尝试暴力破解服务的 IP 一定次数。大概到那时,您将不再看到临时阻止的通知电子邮件。相关设置在 csf.conf 中。查找“LF_PERMBLOCK”。此外,FIFO 的想法是正确的。CSF 将阻止最多数量的 IP,由配置指令 DENY_IP_LIMIT 和 DENY_TEMP_IP_LIMIT 确定,此时最旧(第一个)被阻止的 IP 将解除阻止,以支持最新的违规者。
我相信重新启动 CSF 将清除 LFD 阻止列表。
我建议阅读配置脚本并查看您的日志以验证是否发生了这种情况。
来源:http://configserver.com/free/csf/readme.txt,csf.conf 中http://www.configserver.com/free/csf.tgz