Opsi abaikanregex dalam file konfigurasi tidak berfungsi (v0.8.4).
Saat menguji dengan fail2ban-regex bahkan tidak ada kesalahan "Tidak dapat mengompilasi ekspresi reguler".
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
Tidak ada kecocokan sama sekali:
|- Regular expressions:
|
`- Number of matches:
Contoh:
suhosin.conf
[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*
catatan eror
Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Saya mencoba mencocokkan semua serangan suhosin dan mengurangi semua serangan mencoba meningkatkan memory_limit.
deskriptif: sudahkah Anda menentukan abaikanregex sama sekali?
$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
jadi jika saya menambahkan aigngex ke misalnya sshd.conf (walaupun harus dihindari
penahan di bagian depan karena pencocokan untuk mengabaikanregex diterapkan ke penuh
garis, tanpa pengupasan waktu/tanggal) -- semuanya baik-baik saja
$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf 2>/dev/null | grep -A2 Ignoreregex
Ignoreregex: 2 total
|- #) [# of hits] regular expression
| 1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
$> grep ignoreregex config/filter.d/sshd.conf
# Option: ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
Pada Jumat, 21 Des 2012, Jens-André Koch menulis:
Opsi abaikanregex dalam file konfigurasi tidak berfungsi (v0.8.4).
Saat menguji dengan fail2ban-regex bahkan tidak ada "Tidak dapat mengkompilasi reguler
ekspresi" kesalahan dilemparkan.
Tidak ada kecocokan sama sekali:Abaikanregex
|- Ekspresi reguler:`- Jumlah kecocokan:
Saya melewatkan opsi konfigurasi umum atau apakah ini bug?
Yaroslav O. Halchenko
Rekan Pascadoktoral, Departemen Ilmu Psikologi dan Otak
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
Telepon: +1 (603) 646-9834 Faks: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
:+1:
Ah, Anda benar. Terima kasih telah mengarahkan saya ke parameter ketiga yang benar.
Saya seharusnya membaca halaman manual sebelum memposting ini.
Bagaimanapun ini berfungsi:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf
Saya menutup masalah ini. Selamat Natal. Selamat tinggal.
Selamat Natal! ;)
Pada Jumat, 21 Des 2012, Jens-André Koch menulis:
[1]:+1:
Ah, Anda benar. Terima kasih telah mengarahkan saya ke parameter ketiga yang benar.
Saya seharusnya membaca halaman manual sebelum memposting ini.
Bagaimanapun ini berfungsi:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.confSaya menutup masalah ini. Selamat Natal. Selamat tinggal.
—
Balas email ini secara langsung atau [2] lihat di GitHub.Referensi
Tautan yang terlihat
Yaroslav O. Halchenko
Rekan Pascadoktoral, Departemen Ilmu Psikologi dan Otak
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
Telepon: +1 (603) 646-9834 Faks: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
Komentar yang paling membantu
:+1:
Ah, Anda benar. Terima kasih telah mengarahkan saya ke parameter ketiga yang benar.
Saya seharusnya membaca halaman manual sebelum memposting ini.
Bagaimanapun ini berfungsi:
Saya menutup masalah ini. Selamat Natal. Selamat tinggal.