Fail2ban: ignoreregex не работает

Созданный на 21 дек. 2012  ·  3Комментарии  ·  Источник: fail2ban/fail2ban

Параметр ignoreregex в файлах конфигурации не работает (v0.8.4).
При тестировании с помощью fail2ban-regex даже не выдается ошибка «Невозможно скомпилировать регулярное выражение».

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

Совсем нет совпадений:

|- Regular expressions:
|
`- Number of matches:

Пример:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

журнал ошибок

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

Я пытаюсь сопоставить все атаки suhosin и вычесть все атаки, пытаясь увеличить memory_limit.

picture jakoch

Самый полезный комментарий

: +1:
Ах, ты прав. Спасибо, что указали мне правильный третий параметр.
Я должен был прочитать страницы руководства, прежде чем публиковать это.
В любом случае это работает:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Закрываю вопрос. Счастливого Рождества. До свидания.

picture jakoch 21 дек. 2012
👍3

Все 3 Комментарий

Будьте нагляднее: вы вообще указали ignoreregex?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

поэтому, если я добавлю ignoregex, например, в sshd.conf (хотя нужно избегать
привязка спереди, так как сопоставление ignoreregex применяется к полному
строка, без зачистки времени / даты) - все хорошо

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

Пт, 21 декабря 2012 г., Йенс-Андре Кох написал:

Параметр ignoreregex в файлах конфигурации не работает (v0.8.4).
При тестировании с помощью fail2ban-regex даже не было сообщения «Невозможно скомпилировать обычный
выражение "выдается ошибка.
Совсем нет совпадений:

Игнорировать
| - Регулярные выражения:

`- Количество совпадений:

Мне не хватает общей настройки конфигурации или это ошибка?

Ярослав Олегович Гальченко
Докторант кафедры психологии и мозговых наук
Дартмутский колледж, 419 Мур-Холл, Hinman Box 6207, Ганновер, NH 03755
Телефон: +1 (603) 646-9834 Факс: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic 21 дек. 2012
👍3

: +1:
Ах, ты прав. Спасибо, что указали мне правильный третий параметр.
Я должен был прочитать страницы руководства, прежде чем публиковать это.
В любом случае это работает:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Закрываю вопрос. Счастливого Рождества. До свидания.

jakoch picture jakoch 21 дек. 2012
👍3

Счастливого Рождества! ;)

Пт, 21 декабря 2012 г., Йенс-Андре Кох написал:

[1]: +1:
Ах, ты прав. Спасибо, что указали мне правильный третий параметр.
Я должен был прочитать страницы руководства, прежде чем публиковать это.
В любом случае это работает:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf

Закрываю вопрос. Счастливого Рождества. До свидания.

-
Ответьте на это письмо напрямую или [2] просмотрите его на GitHub.

использованная литература

Видимые ссылки

  1. https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202

Ярослав Олегович Гальченко
Докторант кафедры психологии и мозговых наук
Дартмутский колледж, 419 Мур-Холл, Hinman Box 6207, Ганновер, NH 03755
Телефон: +1 (603) 646-9834 Факс: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic 21 дек. 2012
Была ли эта страница полезной?
0 / 5 - 0 рейтинги

Смежные вопросы

electrofloat picture electrofloat  ·  3Комментарии
mitchellkrogza picture mitchellkrogza  ·  6Комментарии
TommyFrass picture TommyFrass  ·  5Комментарии
TOPUSER picture TOPUSER  ·  8Комментарии
DazzlerJay picture DazzlerJay  ·  7Комментарии