Параметр ignoreregex в файлах конфигурации не работает (v0.8.4).
При тестировании с помощью fail2ban-regex даже не выдается ошибка «Невозможно скомпилировать регулярное выражение».
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
Совсем нет совпадений:
|- Regular expressions:
|
`- Number of matches:
Пример:
suhosin.conf
[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*
журнал ошибок
Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Я пытаюсь сопоставить все атаки suhosin и вычесть все атаки, пытаясь увеличить memory_limit.
Будьте нагляднее: вы вообще указали ignoreregex?
$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
поэтому, если я добавлю ignoregex, например, в sshd.conf (хотя нужно избегать
привязка спереди, так как сопоставление ignoreregex применяется к полному
строка, без зачистки времени / даты) - все хорошо
$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf 2>/dev/null | grep -A2 Ignoreregex
Ignoreregex: 2 total
|- #) [# of hits] regular expression
| 1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
$> grep ignoreregex config/filter.d/sshd.conf
# Option: ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
Пт, 21 декабря 2012 г., Йенс-Андре Кох написал:
Параметр ignoreregex в файлах конфигурации не работает (v0.8.4).
При тестировании с помощью fail2ban-regex даже не было сообщения «Невозможно скомпилировать обычный
выражение "выдается ошибка.
Совсем нет совпадений:Игнорировать
| - Регулярные выражения:`- Количество совпадений:
Мне не хватает общей настройки конфигурации или это ошибка?
Ярослав Олегович Гальченко
Докторант кафедры психологии и мозговых наук
Дартмутский колледж, 419 Мур-Холл, Hinman Box 6207, Ганновер, NH 03755
Телефон: +1 (603) 646-9834 Факс: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
: +1:
Ах, ты прав. Спасибо, что указали мне правильный третий параметр.
Я должен был прочитать страницы руководства, прежде чем публиковать это.
В любом случае это работает:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf
Закрываю вопрос. Счастливого Рождества. До свидания.
Счастливого Рождества! ;)
Пт, 21 декабря 2012 г., Йенс-Андре Кох написал:
[1]: +1:
Ах, ты прав. Спасибо, что указали мне правильный третий параметр.
Я должен был прочитать страницы руководства, прежде чем публиковать это.
В любом случае это работает:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.confЗакрываю вопрос. Счастливого Рождества. До свидания.
-
Ответьте на это письмо напрямую или [2] просмотрите его на GitHub.использованная литература
Видимые ссылки
Ярослав Олегович Гальченко
Докторант кафедры психологии и мозговых наук
Дартмутский колледж, 419 Мур-Холл, Hinman Box 6207, Ганновер, NH 03755
Телефон: +1 (603) 646-9834 Факс: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
Самый полезный комментарий
: +1:
Ах, ты прав. Спасибо, что указали мне правильный третий параметр.
Я должен был прочитать страницы руководства, прежде чем публиковать это.
В любом случае это работает:
Закрываю вопрос. Счастливого Рождества. До свидания.