Fail2ban: ignoreregex لا يعمل

تم إنشاؤها على ٢١ ديسمبر ٢٠١٢ · 3تعليقات · مصدر: fail2ban/fail2ban

خيار ignoreregex في ملفات التكوين لا يعمل (v0.8.4).
عند الاختبار باستخدام fail2ban-regex ، لا يظهر خطأ "تعذر تجميع التعبير العادي".

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

لا يوجد تطابق على الإطلاق:

|- Regular expressions:
|
`- Number of matches:

مثال:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

error.log

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

أحاول مطابقة جميع هجمات suhosin وطرح كل الهجمات التي تحاول زيادة memory_limit.

مصدر

jakoch

التعليق الأكثر فائدة

: +1:
آه ، أنت محق. شكرا لتوجيهي إلى المعلمة الثالثة الصحيحة.
كان يجب أن أقرأ صفحات الرجل قبل نشر هذا.
على أي حال هذا يعمل:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

أنا أغلق القضية. عيد ميلاد مجيد. وداعا.

jakoch في ٢١ ديسمبر ٢٠١٢

👍3

ال 3 كومينتر

كن وصفيًا: هل حددت ignoreregex على الإطلاق؟

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

لذلك إذا قمت بإضافة ignoregex إلى على سبيل المثال sshd.conf (على الرغم من الحاجة إلى تجنبها
التثبيت في المقدمة حيث يتم تطبيق المطابقة لـ ignoreregex بالكامل
الخط ، دون تجريد الوقت / التاريخ) - كل شيء جيد

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

في الجمعة 21 ديسمبر 2012 ، كتب Jens-André Koch:

خيار ignoreregex في ملفات التكوين لا يعمل (v0.8.4).
عند الاختبار باستخدام fail2ban-regex ، لا تظهر علامة "Unable to compile العادية
تم طرح خطأ التعبير ".
لا يوجد تطابق على الإطلاق:
Ignoreregex
| - التعبيرات العادية:
"- عدد المباريات:
أفتقد خيار تكوين عام أم أن هذا خطأ؟

ياروسلاف أ. هالشينكو
زميل ما بعد الدكتوراه ، قسم العلوم النفسية والدماغية
كلية دارتموث ، 419 مور هول ، هينمان بوكس 6207 ، هانوفر ، NH 03755
الهاتف: +1 (603) 646-9834 الفاكس: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic في ٢١ ديسمبر ٢٠١٢

👍3

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

أنا أغلق القضية. عيد ميلاد مجيد. وداعا.

jakoch في ٢١ ديسمبر ٢٠١٢

👍3

عيد ميلاد مجيد! ؛)

في الجمعة 21 ديسمبر 2012 ، كتب Jens-André Koch:

[1]: + 1:
آه ، أنت محق. شكرا لتوجيهي إلى المعلمة الثالثة الصحيحة.
كان يجب أن أقرأ صفحات الرجل قبل نشر هذا.
على أي حال هذا يعمل:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf
أنا أغلق القضية. عيد ميلاد مجيد. وداعا.
-
قم بالرد على هذه الرسالة الإلكترونية مباشرة أو [2] اعرضها على GitHub.
مراجع
روابط مرئية
https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202