фильтр fail2ban regex не работает с nginx файлами журнала
Я ударял по голове, весь день пытающейся соответствовать своему фильтру regex к своему access.log без удачи. Я установил fail2ban на хинду сервере и том, что это хорошо работало (я вручную отравил свой собственный IP, и он работает), но сбои fail2ban regex и возвращают 0 результатов с фильтрами, даже мой сайт имеет нападение heavyload прямо сейчас и прошлые coupleof дни.
по тому, как я не использую iptables программное обеспечение на своем сервере (я должен установить один для fail2ban для работы?) я предполагаю, что fail2ban наклон считал мой logformat или мой формат времени, я пытался настроить все ни кроме какой удачи, любая справка очень очень ценится
Вот мой jail.local
[INCLUDES]
before = paths-common.conf
[DEFAULT]
action=%(action_mwl)s
ignoreip = 127.0.0.1/8 192.168.99.25
ignorecommand =
bantime = 86400
findtime = 300
backend = gamin
[wp-login]
enabled = true
filter = wp-login
banaction=iptables-allports
logpath = /var/log/nginx/localhost*access_log
bantime = 7200
maxretry = 1
[nginx-nohome]
enabled=true
port=http,https
filter=nginx-nohome
logpath=/var/log/nginx/localhost.error.log
bantime=86400
maxretry=2
[nginx-dos]
enabled = true
port = http,8090,8080
filter = nginx-dos
logpath = /var/log/nginx/localhost.access*log
findtime = 30
bantime = 172800
maxretry = 140
[nginx-login]
enabled = true
filter = nginx-login
action = iptables-multiport[name=NoLoginFailures, port="http,https"]
logpath = /var/log/messages
bantime = 7200
maxretry = 6
[nginx-req-limit]
enabled = true
filter = nginx-req-limit
action = iptables-multiport[name=ReqLimit, port="http,https", protocol=tcp]
logpath = /var/log/nginx/localhost.access*log
findtime = 600
bantime = 7200
maxretry = 10
и вот мои фильтры:
[Definition]i
failregex = limiting requests, excess:.* by zone.*client: <HOST>
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
~
[Definition]
failregex = ^<HOST> -.*GET */wp-login* HTTP/1\.."
ignoreregex =
#
[Definition]
failregex = ^<HOST> -.*GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\scgi)
ignoreregex =
[Definition]
failregex = ^<HOST> -.*GET .*/~.*
ignoreregex =
~
На nginx стороне это - мой синтаксис формата журнала и вывод:
формат журнала
log_format main
'[$time_local] - $remote_addr '
'"$request" $status $bytes_sent '
'"$http_referer" "$http_user_agent" ';
accesslog производят:
[01/Oct/2015:09:15:52 +0800] - 60.18.17.206, 113.21.15.23 "POST/httprl_async_function_callback?count=121 HTTP/1.1" 200 1351 "-" "Drupal (+http://drupal.org/)" "-"
формат errorlog:
2015/09/22 00:04:06 [error] 7418#0: *287 FastCGI sent in stderr: "Primary scriptunknown", client: 192.168.99.76, server: www.sams.com, request: "GET/city HTTP/1.0", host: "www.sams.com"
ОБНОВЛЕНИЕ: Мой сайт не использует Wordpress, но я добираюсь, миллионы ссылки по теме Wordpress связывают wp-login.php, который я хочу заблокировать, существует много агрессивных злонамеренных поисковых ботов, ботов рекламы, паук также, который повреждает мой сервер, я хочу заблокироваться
Кажется, вы не очень хорошо знакомы с регулярными выражениями, у вас крутая кривая обучения. Утилита fail2ban использует регулярные выражения python , стоит немного прочитать эту страницу.
Отчасти проблема, с которой вы столкнулись, связана с этой частью вашего failregex
^<HOST>
Здесь говорится, что ищите заранее определенное регулярное выражение в начале строки (или сразу после новой строки) , то есть для ^ .
Глядя на ваши примеры журналов, все они начинаются с даты / времени, это удаляется fail2ban до того, как регулярное выражение будет применено к остальной части строки. Строка не начинается с чего-либо, что могло бы распознать '^', поэтому ваше регулярное выражение не работает.
Простой пример с использованием вашей записи в журнале ошибок. Если вы хотите принять меры для ошибок scriptunknown (что может быть хорошо, а может и не быть), вы можете использовать failregex, например
failregex= scriptunknown", clinet: <HOST>
. Вы можете проверить это, запустив его в файл журнала, используя fail2ban-regex (1) например
fail2ban-regex /path/to/logfile 'scriptunknown", client: <HOST>'
Running tests
=============
Use failregex line : scriptunknown", client: <HOST>
Use log file : /path/to/logfile
Use encoding : UTF-8
Results
=======
Failregex: 1 total
|- #) [# of hits] regular expression
| 1) [1] scriptunknown", client: <HOST>
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [1] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
| [1] Year(?P<_sep>[-/.])Month(?P=_sep)Day 24hour:Minute:Second(?:,Microseconds)?
`-
Lines: 2 lines, 0 ignored, 1 matched, 1 missed [processed in 0.00 sec]
|- Missed line(s):
| [01/Oct/2015:09:15:52 +0800] - 60.18.17.206, 113.21.15.23 "POST/httprl_async_function_callback?count=121 HTTP/1.1" 200 1351 "-" "Drupal (+http://drupal.org/)" "-"
Хорошо, так что он может делать то, что вы хотите, но может быть слишком широким, вам придется смотреть на результаты и делать эти вызовы.
кстати, я не использовать программное обеспечение iptables на моем сервере (нужно ли мне его устанавливать, чтобы fail2ban работал?)
Вам нужен какой-то брандмауэр, совместимый с fail2ban, установленный и работающий в вашей системе. Когда вы его тестировали и
, я вручную заблокировал свой IP, и он работает
Тогда я думаю, что там что-то делает эту работу.