Fail2ban: ignoreregex não está funcionando

Criado em 21 dez. 2012  ·  3Comentários  ·  Fonte: fail2ban/fail2ban

A opção ignoreregex em arquivos de configuração não funciona (v0.8.4).
Ao testar com fail2ban-regex, nem mesmo um erro "Não é possível compilar a expressão regular" é gerado.

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

Nenhuma correspondência:

|- Regular expressions:
|
`- Number of matches:

Exemplo:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

error.log

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

Estou tentando combinar todos os ataques de suhosin e subtrair todos os ataques tentando aumentar o limite de memória.

picture jakoch

Comentários muito úteis

: +1:
Ah, você está certo. Obrigado por me indicar o terceiro parâmetro correto.
Eu deveria ter lido as páginas de manual antes de postar isso.
De qualquer forma, isso funciona:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Estou encerrando o problema. Feliz Natal. Tchau.

picture jakoch em 21 dez. 2012
👍3

Todos 3 comentários

seja descritivo: você especificou ignoreregex?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

então, se eu adicionar ignoregex a, por exemplo, sshd.conf (embora seja necessário evitar
ancorando na frente, uma vez que a correspondência para ignoreregex é aplicada totalmente
linha, sem remover hora / data) - está tudo bem

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

Na sexta-feira, 21 de dezembro de 2012, Jens-André Koch escreveu:

A opção ignoreregex em arquivos de configuração não funciona (v0.8.4).
Ao testar com fail2ban-regex nem mesmo um "Incapaz de compilar regular
expressão "erro é lançado.
Nenhuma correspondência:

Ignoreregex
| - Expressões regulares:

`- Número de correspondências:

Estou perdendo uma opção de configuração geral ou isso é um bug?

Yaroslav O. Halchenko
Bolsista de pós-doutorado, Departamento de Ciências Psicológicas e do Cérebro
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
Telefone: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic em 21 dez. 2012
👍3

: +1:
Ah, você está certo. Obrigado por me indicar o terceiro parâmetro correto.
Eu deveria ter lido as páginas de manual antes de postar isso.
De qualquer forma, isso funciona:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Estou encerrando o problema. Feliz Natal. Tchau.

jakoch picture jakoch em 21 dez. 2012
👍3

Feliz Natal! ;)

Na sexta-feira, 21 de dezembro de 2012, Jens-André Koch escreveu:

[1]: + 1:
Ah, você está certo. Obrigado por me indicar o terceiro parâmetro correto.
Eu deveria ter lido as páginas de manual antes de postar isso.
De qualquer forma, isso funciona:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf

Estou encerrando o problema. Feliz Natal. Tchau.

-
Responda a este e-mail diretamente ou [2] visualize-o no GitHub.

Referências

Links visíveis

  1. https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202

Yaroslav O. Halchenko
Bolsista de pós-doutorado, Departamento de Ciências Psicológicas e do Cérebro
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
Telefone: +1 (603) 646-9834 Fax: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic em 21 dez. 2012
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

xtrmbuster picture xtrmbuster  ·  3Comentários
DazzlerJay picture DazzlerJay  ·  7Comentários
szepeviktor picture szepeviktor  ·  8Comentários
AleksCee picture AleksCee  ·  5Comentários
Madh93 picture Madh93  ·  6Comentários