La opción ignoreregex en los archivos de configuración no funciona (v0.8.4).
Cuando se prueba con fail2ban-regex, ni siquiera aparece el error "No se puede compilar la expresión regular".
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
No hay coincidencias en absoluto:
|- Regular expressions:
|
`- Number of matches:
Ejemplo:
suhosin.conf
[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*
registro de errores
Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Estoy tratando de igualar todos los ataques de suhosin y restar todos los ataques tratando de aumentar el memory_limit.
Sea descriptivo: ¿ha especificado ignoreregex en absoluto?
$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
así que si agrego ignoregex a, por ejemplo, sshd.conf (aunque es necesario evitar
anclaje en el frente, ya que la coincidencia con ignoreregex se aplica a
línea, sin quitar la hora / fecha) - todo está bien
$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf 2>/dev/null | grep -A2 Ignoreregex
Ignoreregex: 2 total
|- #) [# of hits] regular expression
| 1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
$> grep ignoreregex config/filter.d/sshd.conf
# Option: ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
El viernes 21 de diciembre de 2012, Jens-André Koch escribió:
La opción ignoreregex en los archivos de configuración no funciona (v0.8.4).
Al probar con fail2ban-regex ni siquiera un "No se puede compilar regular
se lanza la expresión "error.
No hay coincidencias en absoluto:Ignoreregex
| - Expresiones regulares:`- Número de partidos:
Me falta una opción de configuración general o es un error?
Yaroslav O. Halchenko
Becario postdoctoral, Departamento de Psicología y Ciencias del Cerebro
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hannover, NH 03755
Teléfono: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
: +1:
Ah, tienes razón. Gracias por indicarme el tercer parámetro correcto.
Debería haber leído las páginas del manual antes de publicar esto.
De todos modos esto funciona:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf
Estoy cerrando el tema. Feliz Navidad. Adiós.
¡Feliz Navidad! ;)
El viernes 21 de diciembre de 2012, Jens-André Koch escribió:
[1]: + 1:
Ah, tienes razón. Gracias por indicarme el tercer parámetro correcto.
Debería haber leído las páginas del manual antes de publicar esto.
De todos modos esto funciona:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.confEstoy cerrando el tema. Feliz Navidad. Adiós.
-
Responda a este correo electrónico directamente o [2] véalo en GitHub.Referencias
Enlaces visibles
Yaroslav O. Halchenko
Becario postdoctoral, Departamento de Psicología y Ciencias del Cerebro
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hannover, NH 03755
Teléfono: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
Comentario más útil
: +1:
Ah, tienes razón. Gracias por indicarme el tercer parámetro correcto.
Debería haber leído las páginas del manual antes de publicar esto.
De todos modos esto funciona:
Estoy cerrando el tema. Feliz Navidad. Adiós.