Fail2ban для GLPI
Я хотел знать, есть ли у кого-то такая же проблема, как у меня, или кто-то знает, как его отладить:
В настоящее время я ищу, как я могу запретить людям, которые пытаются подключиться к моему GLPI, чтобы защитить его от брутфорсеров. Вот почему я установил "Fail2ban":
nano /etc/fail2ban/jail.conf
[glpi]
enabled = true
filter = glpi
port = http, https
logpath = /var/www/glpi/files/_log/event.log
maxretry = 3
nano /etc/fail2ban/filter.d/glpi.conf
[INCLUDES]
before = common.conf
[Definition]
failregex = Connexion échouée de \w+ depuis l\’IP <HOST>
ignoreregex =
/etc/init.d/fail2ban restart
Но когда я пытаюсь увидеть, какие строки совпадают с моим регулярным выражением, с помощью этой команды:
fail2ban-regex /var/www/glpi/files/_log/event.log /etc/fail2ban/filter.d/glpi.conf /etc/fail2ban/filter.d/glpi.conf
У меня нет результатов (0 строк соответствует).
Затем я решил попробовать это регулярное выражение как ignoreregex:
nano /etc/fail2ban/filter.d/glpi.conf
[INCLUDES]
before = common.conf
[Definition]
failregex =
ignoreregex = Connexion échouée de \w+ depuis l\’IP <HOST>
И я делаю ту же команду, что и выше (fail2ban-regex). У меня есть 20 строк "игнорируемых" [IMO, это доказывает, что мое регулярное выражение в порядке].
Пока, curumo29.
P.S : The tag <HOST> is the same as (?:::f{4,6}:)?(?P<host>\S+) which permits to get and block the IP address of the bruteforcer with iptables [this tag is mandatory by fail2ban]
1 ответ
Я действительно пытался сделать то же самое на Debian 9 (в то время как я был на Debian 8), и это сработало... Если бы кто-то знал, почему он не работает с atm на Debian 8, было бы неплохо.
Ошибка в:
failregex = Connexion échouée de \w+ depuis l\’IP <HOST>
Вместо этого вы должны использовать
failregex = Connexion échouée de \w+ depuis l\'IP <HOST>
(Используйте ' вместо того ’)
Вы можете использовать это для отладки регулярного выражения:
fail2ban-regex -D /var/www/glpi/files/_log/event.log /etc/fail2ban/filter.d/glpi.conf /etc/fail2ban/filter.d/glpi.conf --print-all-missed