خيار ignoreregex في ملفات التكوين لا يعمل (v0.8.4).
عند الاختبار باستخدام fail2ban-regex ، لا يظهر خطأ "تعذر تجميع التعبير العادي".
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
لا يوجد تطابق على الإطلاق:
|- Regular expressions:
|
`- Number of matches:
مثال:
suhosin.conf
[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*
error.log
Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
أحاول مطابقة جميع هجمات suhosin وطرح كل الهجمات التي تحاول زيادة memory_limit.
كن وصفيًا: هل حددت ignoreregex على الإطلاق؟
$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
لذلك إذا قمت بإضافة ignoregex إلى على سبيل المثال sshd.conf (على الرغم من الحاجة إلى تجنبها
التثبيت في المقدمة حيث يتم تطبيق المطابقة لـ ignoreregex بالكامل
الخط ، دون تجريد الوقت / التاريخ) - كل شيء جيد
$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf 2>/dev/null | grep -A2 Ignoreregex
Ignoreregex: 2 total
|- #) [# of hits] regular expression
| 1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
$> grep ignoreregex config/filter.d/sshd.conf
# Option: ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
في الجمعة 21 ديسمبر 2012 ، كتب Jens-André Koch:
خيار ignoreregex في ملفات التكوين لا يعمل (v0.8.4).
عند الاختبار باستخدام fail2ban-regex ، لا تظهر علامة "Unable to compile العادية
تم طرح خطأ التعبير ".
لا يوجد تطابق على الإطلاق:Ignoreregex
| - التعبيرات العادية:"- عدد المباريات:
أفتقد خيار تكوين عام أم أن هذا خطأ؟
ياروسلاف أ. هالشينكو
زميل ما بعد الدكتوراه ، قسم العلوم النفسية والدماغية
كلية دارتموث ، 419 مور هول ، هينمان بوكس 6207 ، هانوفر ، NH 03755
الهاتف: +1 (603) 646-9834 الفاكس: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
: +1:
آه ، أنت محق. شكرا لتوجيهي إلى المعلمة الثالثة الصحيحة.
كان يجب أن أقرأ صفحات الرجل قبل نشر هذا.
على أي حال هذا يعمل:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf
أنا أغلق القضية. عيد ميلاد مجيد. وداعا.
عيد ميلاد مجيد! ؛)
في الجمعة 21 ديسمبر 2012 ، كتب Jens-André Koch:
[1]: + 1:
آه ، أنت محق. شكرا لتوجيهي إلى المعلمة الثالثة الصحيحة.
كان يجب أن أقرأ صفحات الرجل قبل نشر هذا.
على أي حال هذا يعمل:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.confأنا أغلق القضية. عيد ميلاد مجيد. وداعا.
-
قم بالرد على هذه الرسالة الإلكترونية مباشرة أو [2] اعرضها على GitHub.مراجع
روابط مرئية
ياروسلاف أ. هالشينكو
زميل ما بعد الدكتوراه ، قسم العلوم النفسية والدماغية
كلية دارتموث ، 419 مور هول ، هينمان بوكس 6207 ، هانوفر ، NH 03755
الهاتف: +1 (603) 646-9834 الفاكس: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
التعليق الأكثر فائدة
: +1:
آه ، أنت محق. شكرا لتوجيهي إلى المعلمة الثالثة الصحيحة.
كان يجب أن أقرأ صفحات الرجل قبل نشر هذا.
على أي حال هذا يعمل:
أنا أغلق القضية. عيد ميلاد مجيد. وداعا.