在注意到相同的 IP 反复尝试分块访问我服务器上的所谓 Web 管理资源(即,从一长串“常见”服务器 Web 管理资源中的每个 IP 反复尝试,例如 /phpmyadmin、/mysql 等)后,我设置了一个自定义的 fail2ban 过滤器(和监狱),它在 fail2ban-regex 中针对我的 apache2/access.log 成功测试,显示 55 次“命中”(无需检查似乎是正确的):
[INCLUDES] before = apache-common.conf [Definition] failregex = '^<HOST> - - .*"GET \/phpmyadmin|"GET \/phpMyAdmin|"GET \/pma\/|"GET \/myadmin|"GET \/admin|"GET \/mysql.*$' ignoreregex = ''
fail2ban.log 显示新 jail 已加载。但是,重启后,当前 apache2/access.log 中的几个违规 IP 均未在 fail2ban.log 中列出。
我对 f2b 的理解是,它禁止当前日志,而不等待新的日志条目。
这是否表明新的过滤器和监狱没有按预期工作?
谢谢!
答案1
据我了解,fail2ban忽略任何早于findtime监狱设置的日志条目(默认值为 600 秒)。