Proteja seu servidor com Fail2Ban

O Fail2ban verifica os arquivos de log (por exemplo, / var / log / apache / error_log) e proíbe os IPs que mostram os sinais maliciosos – muitas falhas de senha, busca de exploits, etc.

 Tenha um breve estado de fail2ban:

fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: proftpd, ssh

 Se houver algo errado com seus arquivos de log, reinicie o syslog:

sudo service rsyslog restart

 Proteja-se e proteja pessoas legítimas para serem banidos

Em /etc/fail2ban/jail.conf, ignoreip deve ser definido desta forma:

[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.

ignoreip
= 127.0.0.1 192.168.1.0/24 8.8.8.8

Crie seu próprio REGEXP para corrigir problemas específicos:

Em /etc/fail2ban/filter.d/, duplique o arquivo mais próximo do que você deseja corresponder (ex: apache-auth.conf)

Altere a variável failregex :

failregex = ^ <HOST> -. “GET /w00tw00t.at.ISC.SANS.DFind :). “. *

HOST match the IP address
d indicates a digit
. It is exactly to type [0-9]
D
Indicates that is NOT a number. It's the same as typing [^ 0-9]
w Indicates an alphanumeric character or an underscore. This corresponds to type [a-zA-Z0-9_]

W indicates this is NOT an alphanumeric character or an underscore. It'
s the same as typing [^a-zA-Z0-9_]
t indicates a tab

n indicates a
new line
r indicates a carriage
return
s
Indicates white space (equivalent to t n r)
S
Indicates this is NOT a white space (t n r)

Como verificar se meu REGEXP analisa corretamente meus arquivos de log?

fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-w00t.conf