O Fail2ban verifica os arquivos de log (por exemplo, / var / log / apache / error_log) e proíbe os IPs que mostram os sinais maliciosos – muitas falhas de senha, busca de exploits, etc.
Tenha um breve estado de fail2ban:
fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: proftpd, ssh
Se houver algo errado com seus arquivos de log, reinicie o syslog:
sudo service rsyslog restart
Proteja-se e proteja pessoas legítimas para serem banidos
Em /etc/fail2ban/jail.conf, ignoreip deve ser definido desta forma:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1 192.168.1.0/24 8.8.8.8
Crie seu próprio REGEXP para corrigir problemas específicos:
Em /etc/fail2ban/filter.d/, duplique o arquivo mais próximo do que você deseja corresponder (ex: apache-auth.conf)
Altere a variável failregex :
failregex = ^ <HOST> -. “GET /w00tw00t.at.ISC.SANS.DFind :). “. *
HOST match the IP address
d indicates a digit. It is exactly to type [0-9]
D Indicates that is NOT a number. It's the same as typing [^ 0-9]
w Indicates an alphanumeric character or an underscore. This corresponds to type [a-zA-Z0-9_]
W indicates this is NOT an alphanumeric character or an underscore. It's the same as typing [^a-zA-Z0-9_]
t indicates a tab
n indicates a new line
r indicates a carriage return
s Indicates white space (equivalent to t n r)
S Indicates this is NOT a white space (t n r)
Como verificar se meu REGEXP analisa corretamente meus arquivos de log?
fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-w00t.conf