regex - Fail2ban 正则表达式工作但不禁止。改为 DNS 警告
问题描述
所以,我已经阅读了几天的问题,似乎没有在任何地方找到解决方案。我正在 Web 服务器实验室进行一些测试,我已经设置了两个 VM(Ubuntu 20.04)服务器和客户端。在服务器上,我配置了一个 PHP 登录应用程序,只要有人登录失败,就可以给我这个日志。
root@local:/var/log/apache2# tail -f error.log
[Fri Jun 18 10:13:37.657446 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
[Fri Jun 18 10:13:41.434454 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
[Fri Jun 18 10:13:46.236750 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
并且 Fail2Ban v0.11.1 配置为捕获它。/etc/fail2ban/jail.local:
[login-ban]
enabled = true
port = http,https
filter = login-ban
logpath = /var/log/apache2/error.log
maxretry = 3
findtime = 180
bantime = 60
/etc/fail2ban/filter.d/login-ban.conf:
[Definition]
failregex = ^\[.*\]\s\[.*]\s\[.*].*\[client.*<HOST>\].*\[error\].*
ignoreregex =
现在,如果我使用 fail2ban-regex 检查,正则表达式可以完美运行:
fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/login-ban.conf --print-all-matched
我明白了
|- Matched line(s):
| [Fri Jun 18 10:36:07.312503 2021] [php7:notice] [pid 780] [client 192.168.1.11:44754] [error] failed login, referer: http://192.168.1.10/index.php
| [Fri Jun 18 10:36:14.417955 2021] [php7:notice] [pid 784] [client 192.168.1.11:44756] [error] failed login, referer: http://192.168.1.10/index.php
但是fail2ban没有禁止IP,fail2ban.log给我一个DNS警告:
2021-06-18 10:50:22,083 fail2ban.ipdns [2154]: WARNING Determined IP using DNS Lookup: 8 = {'0.0.0.8'}
2021-06-18 10:50:22,085 fail2ban.filter [2154]: INFO [login-ban] Found 0.0.0.8 - 2021-06-18 10:50:22
我已经尝试将 usedns 参数设置为“no”和“raw”,唯一完成的是摆脱 dns 警告日志,仍然没有禁止并且没有记录尝试登录的主机。
我希望这是足够的信息,并且这将帮助像我一样的人。
解决方案
OFFTOPIC: 请将此问题移至 serverfault 或其他更合适的站点(这与 SO 无关)
至于您的问题,只需停止使用包罗万象(.*
等),例如使其工作的一项更正可能是:
- ... \[client.*<HOST>\] ...
+ ... \[client <HOST>:\d+\] ...
RE.*
是贪婪的,因此它匹配尽可能多的字符,并且<HOST>
可以匹配任何内容(主机名),而不仅仅是地址<ADDR>
,如果您的 fail2ban 版本> = 0.10,则更好地使用它。
由于几个包罗万象,你的整个表达都是“脆弱的”(所以锚并没有真正被抓住)。
推荐阅读
- amazon-web-services - 如何提前获取自动次要版本升级通知
- flutter - Flutter 类型为 'Future 的值
' 不能从方法 '_onBackPress' 中返回,因为它的返回类型是 'Future ' - rust - 迭代器的Rust“在编译时没有已知的大小”错误?
- datadog - 如何将 Vertex AI 日志与 Datadog 集成?
- swagger - 无法在 SpringDoc OpenAPI 中为动态 URL 设置映射
- python - 如何使用python在命令提示符下更改某个打印行的颜色?
- sql - 如何使用自定义列对连接表进行分组
- pandas - Pandas 滚动窗口小于等于
- firebase - Flutter web Firebase Google 身份验证
- apache-spark - Spark 作业之间的隐形延迟