Fail2ban: ignorierenregex funktioniert nicht

Erstellt am 21. Dez. 2012  ·  3Kommentare  ·  Quelle: fail2ban/fail2ban

Die Option ignoreregex in Konfigurationsdateien funktioniert nicht (v0.8.4).
Beim Testen mit fail2ban-regex wird nicht einmal der Fehler "Regulärer Ausdruck kann nicht kompiliert werden" ausgegeben.

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

Keine Übereinstimmungen:

|- Regular expressions:
|
`- Number of matches:

Beispiel:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

Fehlerprotokoll

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

Ich versuche, alle Suhosin-Angriffe abzugleichen und alle Angriffe zu subtrahieren, die versuchen, das memory_limit zu erhöhen.

picture jakoch

Hilfreichster Kommentar

:+1:
Ach, du hast recht. Danke für den Hinweis auf den richtigen dritten Parameter.
Ich hätte die Manpages lesen sollen, bevor ich das hier poste.
Das funktioniert jedenfalls:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Ich schließe das Thema. Frohe Weihnachten. Wiedersehen.

picture jakoch am 21. Dez. 2012
👍3

Alle 3 Kommentare

Beschreibend sein: Haben Sie Ignoreregex überhaupt angegeben?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

Wenn ich also Ignoregex zu zB sshd.conf hinzufüge (obwohl ich vermeiden muss
Verankerung auf der Vorderseite, da Matching für Ignoreregex vollständig angewendet wird
Zeile, ohne Zeit/Datum zu entfernen) -- alles gut

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

Am Freitag, den 21.12.2012, schrieb Jens-André Koch:

Die Option ignoreregex in Konfigurationsdateien funktioniert nicht (v0.8.4).
Beim Testen mit fail2ban-regex nicht einmal ein "Kann nicht regulär kompilieren
Ausdruck" wird geworfen.
Keine Übereinstimmungen:

Regex ignorieren
|- Reguläre Ausdrücke:

`- Anzahl der Übereinstimmungen:

Mir fehlt eine allgemeine Konfigurationsoption oder ist das ein Fehler?

Jaroslaw O. Halchenko
Postdoctoral Fellow, Institut für Psychologie und Neurowissenschaften
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hannover, NH 03755
Telefon: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic am 21. Dez. 2012
👍3

:+1:
Ach, du hast recht. Danke für den Hinweis auf den richtigen dritten Parameter.
Ich hätte die Manpages lesen sollen, bevor ich das hier poste.
Das funktioniert jedenfalls:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Ich schließe das Thema. Frohe Weihnachten. Wiedersehen.

jakoch picture jakoch am 21. Dez. 2012
👍3

Frohe Weihnachten! ;)

Am Freitag, den 21.12.2012, schrieb Jens-André Koch:

[1]:+1:
Ach, du hast recht. Danke für den Hinweis auf den richtigen dritten Parameter.
Ich hätte die Manpages lesen sollen, bevor ich das hier poste.
Das funktioniert jedenfalls:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf

Ich schließe das Thema. Frohe Weihnachten. Wiedersehen.


Antworten Sie direkt auf diese E-Mail oder [2]sehen Sie sie auf GitHub an.

Verweise

Sichtbare Links

  1. https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202

Jaroslaw O. Halchenko
Postdoctoral Fellow, Institut für Psychologie und Neurowissenschaften
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hannover, NH 03755
Telefon: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic am 21. Dez. 2012
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

wienfuchs picture wienfuchs  ·  5Kommentare
Skyridr picture Skyridr  ·  3Kommentare
twixi picture twixi  ·  5Kommentare
4Syno picture 4Syno  ·  6Kommentare
DazzlerJay picture DazzlerJay  ·  7Kommentare