fail2ban का logpath regex (नियमित अभिव्यक्ति) का उपयोग कर सकता है
नमस्ते, मैं अक्षम हूँ।
*nix-आधारित OS में, जब लॉग रोटेशन सेटिंग्स अलग-अलग होती हैं, तो /var/log/auth.log तुरंत संग्रहीत हो सकता है और बिल्कुल भी प्रतिबंधित नहीं हो सकता है, इसलिए ऐसा लगता है कि आप नीचे दिए गए अनुसार नियमित अभिव्यक्तियों का उपयोग कर सकते हैं।
कैसे! इस्तेमाल! करें!
:/etc/fail2ban# cat jail.local
[sshd]
ignoreip = 127.0.0.1/8 ::1
enabled = true
port = all
logpath = /var/log/auth.log*
bantime = 10w
findtime = 10d
maxretry = 2
और, जब आप fail2ban-client status sshd के साथ देखते हैं,
:/usr/local/etc/fail2ban # fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/log/auth.log /var/log/auth.log.2.bz2 /var/log/auth.log.1.bz2 /var/log/auth.log.6.bz2 /var/log/auth.log.3.bz2 /var/log/auth.log.4.bz2 /var/log/auth.log.5.bz2 /var/log/auth.log.0.bz2
`- Actions
|- Currently banned: 158
|- Total banned: 158
ऐसा लगता है कि .bz फ़ाइलें भी लक्षित हैं... क्या यह उन्हें देख रहा है...? मैंने सोचा, लेकिन सामान्य रूप से, यह असंभव है (´・ω・`)
मैंने अभी तक विस्तार से नहीं देखा है, लेकिन अगर यह zgrep की तरह संपीड़ित बाइनरी को भी देख रहा है, तो मुझे खुशी होगी।
यह सोचकर, मैंने ls auth.log.*.bz2 | xargs bunzip2 के साथ डीकंप्रेस किया और fail2ban को पुनरारंभ करके देखा, लेकिन प्रतिबंधित IP नहीं बदला, इसलिए ऐसा लगता है कि यह संपीड़ित बाइनरी लॉग को भी देख रहा है।
इस तरह के सॉफ़्टवेयर में, लापरवाही से नियमित अभिव्यक्तियों का उपयोग करना, विशेष रूप से .* आदि, अक्सर अनावश्यक संसाधनों का उपभोग करता है, इसलिए स्पष्ट नियमित अभिव्यक्तियों का उपयोग करने की सिफारिश की जाती है।
अविश्वसनीय HeznerVPS मशीन
भयानक।
:/etc/fail2ban# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 814
| |- Total failed: 132602
| `- File list: /var/log/auth.log.1 /var/log/auth.log
`- Actions
|- Currently banned: 2503
|- Total banned: 2503
2503 IP...?
मुझे लगता है कि मुझे एक स्वादिष्ट डेटा स्रोत मिला है, और मैं खुश हूँ, Dos।