fail2ban / linux / security / server

Proteja seu servidor com Fail2Ban

O Fail2ban verifica os arquivos de log (por exemplo, / var / log / apache / error_log) e proíbe os IPs que mostram os sinais maliciosos – muitas falhas de senha, busca de exploits, etc.

 Tenha um breve estado de fail2ban:

fail2ban-client status
Status
|- Number of jail:  2
`- Jail list:       proftpd, ssh

 Se houver algo errado com seus arquivos de log, reinicie o syslog:

sudo service rsyslog restart

 Proteja-se e proteja pessoas legítimas para serem banidos

Em /etc/fail2ban/jail.conf, ignoreip deve ser definido desta forma:

[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not                          
# ban a host which matches an address in this list. Several addresses can be                             
# defined using space separator.

ignoreip = 127.0.0.1 192.168.1.0/24 8.8.8.8

Crie seu próprio REGEXP para corrigir problemas específicos:

Em /etc/fail2ban/filter.d/, duplique o arquivo mais próximo do que você deseja corresponder (ex: apache-auth.conf)

Altere a variável failregex :

failregex = ^ <HOST> -. “GET /w00tw00t.at.ISC.SANS.DFind :). “. *

HOST match the IP address
d indicates a digit. It is exactly to type [0-9]
D Indicates that is NOT a number. It's the same as typing [^ 0-9]
w Indicates an alphanumeric character or an underscore. This corresponds to type [a-zA-Z0-9_]
W indicates this is NOT an alphanumeric character or an underscore. It's the same as typing [^a-zA-Z0-9_]
t indicates a tab
n indicates a new line
r indicates a carriage return
s Indicates white space (equivalent to t n r)
S Indicates this is NOT a white space (t n r)

Como verificar se meu REGEXP analisa corretamente meus arquivos de log?

fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-w00t.conf

Related Posts

Como desbloquear IP de fail2ban

fail2ban bloquear tentativas de login wp-auth

Executando fail2ban sem raiz no debian