我已设置 fail2ban 过滤器来扫描 error.log 消息,其格式如下: [Sun Apr 21 12:37:02.266167 2024] [:error] [pid 26113:tid 139778838230784] [client 197.91.24.227] ModSecurity: Warning. Pattern match "/login" at REQUEST_URI. [file "/etc/modsecurity/modsecurity.conf"] [line "110"] [id "800000"] [msg "login"...
使用下面的正则表达式过滤器: [Definition] failregex = ^<HOST>.*Priority: 0 ignoreregex = Fail2Ban 未检测到以下任何日志条目。 Mon Apr 1 21:11:29 2024 [**] [1:1000002:1] SSH attempt [**] [Priority: 0] {TCP} 192.x.x.x:58867 -> 192.168.x.x:22 Mon Apr 1 21:11:29 2024 [**] [1:1000002:1] SSH attempt [**...
我有一台在 VPS 上运行的 Debian 10 服务器。我安装的唯一软件是:tinyproxy(http 代理)和 fail2ban 我已经包含了使用 ss 进行端口扫描的结果 我已将我的具体设置包含在fail2ban jail.local文件中。 下面我附上了来自 fail2ban 日志和 auth 日志的整个示例。 我不明白 fail2ban 是否正常工作,即根据 fail2ban 在 IP 表中所做的条目导致 IP 被阻止。 例如: fail2ban.log 显示 IP 103.226.138.245 的 3 个条目 第三条记录说该IP已经被禁止。...
最终,我的目标是将 ShadowSOCKS 服务器与 fail2ban 集成,但我在让 ShadowSOCKS 容器写入日志文件的中间步骤中遇到了麻烦(ShadowSOCKS docker 将其日志输出到 stdout 并且缺少 syslog 文件)。由于我已经使用 ELK 堆栈来管理我的容器和 syslog,我认为最简单的方法是通过 logstash。 ShadowSOCKS、ELK 和 fail2ban 都在 docker 中运行,除了此功能外,其他均能正常使用。 为了写入文件,我编辑了 logstash-agent 配置文件,如下所示: input {...
我正在尝试开发一个自定义过滤器来过滤掉对我们的过滤器的一些恶意攻击/扫描,但是我被困在操作禁令无法生效的点上。 这是我的jail.local: [my-jail] enabled = true filter = my-filter action = my-action sendmail-whois[name=Fail2Ban Test, [email protected], [email protected], sendername="Fail2Ban"] logpath = /var/log/apache2/frontend-app...
我正在尝试运行 yocto 构建的 python3-fail2ban 组件,但遇到了与PY_SSIZE_T_CLEAN 宏。错误信息是PY_SSIZE_T_CLEAN macro must be defined for '#' formats。 我调查了这个问题,发现在 Python 3.10 C-API 文档中https://docs.python.org/3.10/c-api/arg.html#arg-parsing,其中提到, for all # variants of formats (like s#, y#, etc.), the PY_SSIZE...
我在 docker 主机上运行 fail2ban。我希望 fail2ban 能够识别某些 apache 调用,并通过将有问题的 IP 添加到 DOCKER-USER iptables 链来禁止它们,以缓解正在进行的 DDoS。 我创建了所有标准配置文件,并重新加载了 fail2ban。在 fail2ban.log 中,我可以看到它找到了这些行(所以我的正则表达式和日志文件没有问题),并且它说它正在禁止不良 IP,但 DOCKER-USER iptables 链没有获得 DROP 规则。fail2ban.log 中没有错误。 我的fail2ban/filter...
我无法让 fail2ban.service 运行。它经常被终止 我尝试在 xcp-ng (8.3 alpha2) 上安装 fail2ban。我从源代码安装它,因为默认 REHL 存储库已关闭,我认为这样做可能会更好。所以我尝试从源代码安装: wget https://github.com/fail2ban/fail2ban/archive/refs/tags/1.0.2.tar.gz tar xzf 1.0.2.tar.gz cd fail2ban-1.0.2/ sudo python setup.py install 运行得非常好。所以我把它改成/etc...
我正在使用旧的 iptables v1.4.7 与 fail2ban 结合使用。但是我在日志中看到“已被禁止”的消息,无法弄清楚为什么它们仍能到达我的服务器并且没有被阻止f2b-星号部分如下。乍一看,您是否看到了以下不起作用的原因?我查看了其他答案,但它们没有给出任何解释。以下是输出: [root@server bin]# iptables -L Chain INPUT (policy DROP) target prot opt source destination f2b-ASTERISK udp -- anywh...
我读过十几篇关于使用iptables、fail2ban和 的指南csf。它们的共同点似乎是: 1) generate a list of IP rangess for the country you want 2) write a bash/python script to run the allow config for each ip range 3) run a deny all for everything else 指南https://unix.stackexchange.com/questions/478735/blocking-all-tra...
我有 Debian 10、Fail2Ban v0.10.6 和 iptables,我的过滤器可以<SUBNET>正常工作。现在我有 Ubuntu 22.04、Fail2Ban v0.11.2,我尝试让它与 nftables 一起工作。我仅添加了jail.localnftables。我的配置: # /etc/fail2ban/fail2ban.conf [DEFAULT] loglevel = INFO logtarget = /var/log/fail2ban.log syslogsocket = auto socket = /var/run/f...
我在 stackexchange 和其他网站上看到了一些帖子,但一直没能弄清楚。我在 Ubuntu 22 上使用 fail2ban,并使用 exim、dovecot 等作为我的邮件服务器。同一台服务器上还有一些其他应用程序。由于这是一台私人服务器,我希望使我的配置非常严格,并在必要时将其列入白名单。 以下是我目前拥有的/etc/fail2ban/filter.d/exim.conf # Fail2Ban filter for exim # # This includes the rejection messages of exim. For spam and...
我正在调试我的 RPI4,目前我已进入 Fail2ban。我禁用了 SSH 服务器上的密码验证,并导入了公钥验证的密钥。出于某种原因,我仍然会偶尔收到有关 IP 被禁止的电子邮件通知。以下是此类禁令的日志示例。 Lines containing failures of 116.105.77.108 Jul 4 11:39:14 pollux sshd[11482]: Connection from 116.105.77.108 port 54936 on 192.168.3.18 port 32 Jul 4 11:39:15 pollux sshd[11...
我在服务器上使用 fail2ban 并生成禁令报告。我找不到有关操作中所有可能变量的文档,有人有来源吗? 即我可以用来<failures>指示失败尝试的次数。有没有办法也可以检索发出的禁令时间?(我正在使用增加的禁令时间,因此如果某个 IP 目前被禁止 1 分钟(第一次失败)或 1 天(多次失败),那将会很有趣) ...
我们有一台服务器和几台具有固定 IP 的工作站。服务器配置为基本拒绝所有 ssh 请求,除了在 hosts.allow 中输入的请求。以下是配置。 主机拒绝 sshd: ALL 主机允许 sshd: 192.168.28.38, 192.168.28.182, 192.168.28.120 #and so on 但是只有部分输入的IP可以通过SSH登录(例如 192.168.28.182). 其他 IP 也在 hosts.allow 中 (例如 192.168.28.38)无法登录并查看错误消息"kex_exchange_identification: ...