Fail2ban: ignoreregex no funciona

Creado en 21 dic. 2012  ·  3Comentarios  ·  Fuente: fail2ban/fail2ban

La opción ignoreregex en los archivos de configuración no funciona (v0.8.4).
Cuando se prueba con fail2ban-regex, ni siquiera aparece el error "No se puede compilar la expresión regular".

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

No hay coincidencias en absoluto:

|- Regular expressions:
|
`- Number of matches:

Ejemplo:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

registro de errores

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

Estoy tratando de igualar todos los ataques de suhosin y restar todos los ataques tratando de aumentar el memory_limit.

picture jakoch

Comentario más útil

: +1:
Ah, tienes razón. Gracias por indicarme el tercer parámetro correcto.
Debería haber leído las páginas del manual antes de publicar esto.
De todos modos esto funciona:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Estoy cerrando el tema. Feliz Navidad. Adiós.

picture jakoch en 21 dic. 2012
👍3

Todos 3 comentarios

Sea descriptivo: ¿ha especificado ignoreregex en absoluto?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

así que si agrego ignoregex a, por ejemplo, sshd.conf (aunque es necesario evitar
anclaje en el frente, ya que la coincidencia con ignoreregex se aplica a
línea, sin quitar la hora / fecha) - todo está bien

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

El viernes 21 de diciembre de 2012, Jens-André Koch escribió:

La opción ignoreregex en los archivos de configuración no funciona (v0.8.4).
Al probar con fail2ban-regex ni siquiera un "No se puede compilar regular
se lanza la expresión "error.
No hay coincidencias en absoluto:

Ignoreregex
| - Expresiones regulares:

`- Número de partidos:

Me falta una opción de configuración general o es un error?

Yaroslav O. Halchenko
Becario postdoctoral, Departamento de Psicología y Ciencias del Cerebro
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hannover, NH 03755
Teléfono: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic en 21 dic. 2012
👍3

: +1:
Ah, tienes razón. Gracias por indicarme el tercer parámetro correcto.
Debería haber leído las páginas del manual antes de publicar esto.
De todos modos esto funciona:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Estoy cerrando el tema. Feliz Navidad. Adiós.

jakoch picture jakoch en 21 dic. 2012
👍3

¡Feliz Navidad! ;)

El viernes 21 de diciembre de 2012, Jens-André Koch escribió:

[1]: + 1:
Ah, tienes razón. Gracias por indicarme el tercer parámetro correcto.
Debería haber leído las páginas del manual antes de publicar esto.
De todos modos esto funciona:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf

Estoy cerrando el tema. Feliz Navidad. Adiós.

-
Responda a este correo electrónico directamente o [2] véalo en GitHub.

Referencias

Enlaces visibles

  1. https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202

Yaroslav O. Halchenko
Becario postdoctoral, Departamento de Psicología y Ciencias del Cerebro
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hannover, NH 03755
Teléfono: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic en 21 dic. 2012
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

KiwiMorpheus picture KiwiMorpheus  ·  3Comentarios
4Syno picture 4Syno  ·  6Comentarios
mitchellkrogza picture mitchellkrogza  ·  6Comentarios
eNTi picture eNTi  ·  4Comentarios
twixi picture twixi  ·  5Comentarios