Fail2ban: 무시 정규식이 작동하지 않습니다

에 만든 2012년 12월 21일 · 3코멘트 · 출처: fail2ban/fail2ban

구성 파일의 ignoreregex 옵션이 작동하지 않습니다(v0.8.4).
fail2ban-regex로 테스트할 때 "정규 표현식을 컴파일할 수 없음" 오류도 발생하지 않습니다.

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

일치하는 항목이 없습니다.

|- Regular expressions:
|
`- Number of matches:

예시:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

오류 기록

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

나는 모든 수호신 공격을 일치시키고 memory_limit를 늘리려고 모든 공격을 빼려고합니다.

출처

jakoch

가장 유용한 댓글

:+1:
아, 당신 말이 맞아. 올바른 세 번째 매개변수를 알려주셔서 감사합니다.
이것을 게시하기 전에 매뉴얼 페이지를 읽었어야 했습니다.
어쨌든 이것은 작동합니다.

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

문제를 닫습니다. 메리 크리스마스. 안녕히 계세요.

jakoch 에 2012년 12월 21일

👍3

모든 3 댓글

설명하기: ignoreregex를 전혀 지정했습니까?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

따라서 예를 들어 sshd.conf에 ignoregex를 추가하면 (피할 필요가 있지만
ignoreregex에 대한 일치가 전체에 적용되므로 전면에 고정
라인, 스트립 시간/날짜 없음) -- 모두 좋습니다.

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

2012년 12월 21일 금요일 Jens-André Koch는 다음과 같이 썼습니다.

구성 파일의 ignoreregex 옵션이 작동하지 않습니다(v0.8.4).
fail2ban-regex로 테스트할 때 "Unable to compile regular
식" 오류가 발생합니다.
일치하는 항목이 없습니다.
정규식 무시
|- 정규 표현식:
`- 일치 횟수:
일반 구성 옵션이 누락되었거나 버그입니까?

야로슬라프 O. 할첸코
심리학 및 뇌과학부 박사후 연구원
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
전화: +1 (603) 646-9834 팩스: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic 에 2012년 12월 21일

👍3

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

문제를 닫습니다. 메리 크리스마스. 안녕히 계세요.

jakoch 에 2012년 12월 21일

👍3

메리 크리스마스! ;)

2012년 12월 21일 금요일 Jens-André Koch는 다음과 같이 썼습니다.

[1]:+1:
아, 당신 말이 맞아. 올바른 세 번째 매개변수를 알려주셔서 감사합니다.
이것을 게시하기 전에 매뉴얼 페이지를 읽었어야 했습니다.
어쨌든 이것은 작동합니다.
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf
문제를 닫습니다. 메리 크리스마스. 안녕히 계세요.
—
이 이메일에 직접 회신하거나 [2]GitHub에서 확인하세요.
참고문헌
보이는 링크
https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202

야로슬라프 O. 할첸코
심리학 및 뇌과학부 박사후 연구원
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
전화: +1 (603) 646-9834 팩스: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic 에 2012년 12월 21일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Fail2ban: 무시 정규식이 작동하지 않습니다

가장 유용한 댓글

모든 3 댓글

야로슬라프 O. 할첸코 심리학 및 뇌과학부 박사후 연구원 Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755 전화: +1 (603) 646-9834 팩스: +1 (603) 646-1419 WWW: http://www.linkedin.com/in/yarik

야로슬라프 O. 할첸코 심리학 및 뇌과학부 박사후 연구원 Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755 전화: +1 (603) 646-9834 팩스: +1 (603) 646-1419 WWW: http://www.linkedin.com/in/yarik

관련 문제

야로슬라프 O. 할첸코
심리학 및 뇌과학부 박사후 연구원
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
전화: +1 (603) 646-9834 팩스: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

야로슬라프 O. 할첸코
심리학 및 뇌과학부 박사후 연구원
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
전화: +1 (603) 646-9834 팩스: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik