所以,我已经阅读问题几天了,似乎在任何地方都找不到解决方案。 我正在Web服务器实验室上进行一些测试,我已经设置了两个VM(Ubuntu 20.04)服务器和客户端。 在服务器上,我配置了一个PHP登录应用程序,以便在有人登录失败时给我此日志。
root@local:/var/log/apache2# tail -f error.log
[Fri Jun 18 10:13:37.657446 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
[Fri Jun 18 10:13:41.434454 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
[Fri Jun 18 10:13:46.236750 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
并配置了 Fail2Ban v0.11.1 来捕获它。/etc/fail2ban/jail.local:
[login-ban]
enabled = true
port = http,https
filter = login-ban
logpath = /var/log/apache2/error.log
maxretry = 3
findtime = 180
bantime = 60
/etc/fail2ban/filter.d/login-ban.conf:
[Definition]
failregex = ^[.*]s[.*]s[.*].*[client.*<HOST>].*[error].*
ignoreregex =
现在,正则表达式运行良好,如果我使用 fail2ban-regex 检查:
fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/login-ban.conf --print-all-matched
我得到
|- Matched line(s):
| [Fri Jun 18 10:36:07.312503 2021] [php7:notice] [pid 780] [client 192.168.1.11:44754] [error] failed login, referer: http://192.168.1.10/index.php
| [Fri Jun 18 10:36:14.417955 2021] [php7:notice] [pid 784] [client 192.168.1.11:44756] [error] failed login, referer: http://192.168.1.10/index.php
但是fail2ban并没有禁止IP,而fail2ban.log会给我一个DNS警告:
2021-06-18 10:50:22,083 fail2ban.ipdns [2154]: WARNING Determined IP using DNS Lookup: 8 = {'0.0.0.8'}
2021-06-18 10:50:22,085 fail2ban.filter [2154]: INFO [login-ban] Found 0.0.0.8 - 2021-06-18 10:50:22
我尝试将usedns参数设置为"否"和"原始",唯一完成的事情是摆脱dns警告日志,仍然没有禁止并且不记录尝试登录的主机。
我希望这是足够的信息,并且这将帮助像我一样多的人。
题外话: 请将此问题移至ServerFault或其他更适合的网站(这是SO的题外话)
至于您的问题,只需停止使用包罗万象(.*
等), 例如,使其工作的一项更正可能是:
- ... [client.*<HOST>] ...
+ ... [client <HOST>:d+] ...
RE.*
是贪婪的,所以它匹配尽可能多的字符,<HOST>
可以匹配任何内容(主机名),而不仅仅是地址,如果你的 fail2ban 版本>= 0.10,最好使用<ADDR>
代替。
而且由于几个包罗万象,你的整个表达是"脆弱的"(所以锚点并没有真正被拿走)。