Fail2ban: ignoreregex ne fonctionne pas

Créé le 21 déc. 2012  ·  3Commentaires  ·  Source: fail2ban/fail2ban

L'option ignoreregex dans les fichiers de configuration ne fonctionne pas (v0.8.4).
Lors du test avec fail2ban-regex, même une erreur "Impossible de compiler l'expression régulière" n'est pas renvoyée.

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

Aucune correspondance :

|- Regular expressions:
|
`- Number of matches:

Exemple:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

error.log

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

J'essaie de faire correspondre toutes les attaques suhosin et de soustraire toutes les attaques en essayant d'augmenter le memory_limit.

picture jakoch

Commentaire le plus utile

:+1:
Ah, tu as raison. Merci de m'avoir indiqué le bon troisième paramètre.
J'aurais dû lire les pages de manuel avant de poster ceci.
En tout cas ça marche :

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Je clos le sujet. Joyeux Noël. Au revoir.

picture jakoch le 21 déc. 2012
👍3

Tous les 3 commentaires

être descriptif : avez-vous spécifié ignoreregex ?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

donc si j'ajoute ignoregex à par exemple sshd.conf (bien qu'il faille éviter
ancrage sur le devant puisque la correspondance pour ignoreregex est appliquée à plein
ligne, sans supprimer l'heure/la date) -- tout va bien

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

Le vendredi 21 décembre 2012, Jens-André Koch a écrit :

L'option ignoreregex dans les fichiers de configuration ne fonctionne pas (v0.8.4).
Lors du test avec fail2ban-regex, même pas un "Impossible de compiler régulièrement
expression" est renvoyée.
Aucune correspondance :

Ignorer regex
|- Expressions régulières :

`- Nombre de matchs :

Il me manque une option de configuration générale ou est-ce un bug ?

Yaroslav O. Halchenko
Stagiaire postdoctoral, Département des sciences psychologiques et cérébrales
Collège Dartmouth, 419 Moore Hall, Hinman Box 6207, Hanovre, NH 03755
Téléphone : +1 (603) 646-9834 Télécopie : +1 (603) 646-1419
WWW : http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic le 21 déc. 2012
👍3

:+1:
Ah, tu as raison. Merci de m'avoir indiqué le bon troisième paramètre.
J'aurais dû lire les pages de manuel avant de poster ceci.
En tout cas ça marche :

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Je clos le sujet. Joyeux Noël. Au revoir.

jakoch picture jakoch le 21 déc. 2012
👍3

Joyeux Noël! ;)

Le vendredi 21 décembre 2012, Jens-André Koch a écrit :

[1] :+1 :
Ah, tu as raison. Merci de m'avoir indiqué le bon troisième paramètre.
J'aurais dû lire les pages de manuel avant de poster ceci.
En tout cas ça marche :
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf

Je clos le sujet. Joyeux Noël. Au revoir.

-
Répondez directement à cet e-mail ou [2]consultez-le sur GitHub.

Les références

Liens visibles

  1. https://github.com/fail2ban/fail2ban/issues/100#issuecomment-11623202

Yaroslav O. Halchenko
Stagiaire postdoctoral, Département des sciences psychologiques et cérébrales
Collège Dartmouth, 419 Moore Hall, Hinman Box 6207, Hanovre, NH 03755
Téléphone : +1 (603) 646-9834 Télécopie : +1 (603) 646-1419
WWW : http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic le 21 déc. 2012
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

Skyridr picture Skyridr  ·  3Commentaires
KiwiMorpheus picture KiwiMorpheus  ·  3Commentaires
AleksCee picture AleksCee  ·  5Commentaires
twixi picture twixi  ·  5Commentaires
gaia picture gaia  ·  3Commentaires