我们在 Ubuntu 12.04 LTS 上使用 2.2.22-1ubuntu1.8:
# cat /etc/apache2/sites-enabled/000-default
...
DocumentRoot /var/www
<Directory />
...
AuthType Basic
AuthName "Please input password"
AuthBasicProvider ldap
Order allow,deny
Allow from all
AuthLDAPURL "ldaps://ldapfooserver.com/ou=baar,o=foo.com?mail"
Require ldap-attribute [email protected]
...
</Directory>
...
有时我可以看到有人试图使用错误的密码登录。access.log 有很多 HTTP 401 消息。
问题:如果过去 1 小时内 access.log 中有 10 条“HTTP 401”错误消息,我们如何阻止 IP 地址?或者通过 iptables 来实现更好(限制 IP 每秒的最大连接数)?或两者?
或者更好地使用 error.log?
# grep 401\.html /var/log/apache2/error.log | wc -l
3658
#
答案1
该fail2ban包旨在处理此类情况。您可以控制禁令的时间以及向管理员生成通知。