fail2ban не соответствует xmlrpc
Я добавил тюрьму xmlrpc для fail2ban, чтобы защитить его от постоянной атаки. Журнал apache access.log выглядит следующим образом ...
191.96.249.80 - - [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [16/Dec/2016:14:54:22 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
и моя неудача с запретом def выглядит следующим образом ...
[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.*
ignoreregex =
Кажется, это не соответствует, поскольку ничего для xmlrpc не отображается в журнале fail2ban, но fail2ban сообщает
Моя тюрьма настроена таким образом в моем файле jail.conf
[xmlrpc]
enabled = true
filter = xmlrpc
action = iptables[name=xmlrpc, port=http, protocol=tcp]
logpath = /var/log/apache2/access.log
bantime = 43600
maxretry = 0
У кого-нибудь есть идеи, почему это может не совпадать?
0
задан Matthew
16 December 2016 в 17:01
Ссылка
1 ответ
В конце концов я понял это. Оказывается, я пропустил определение порта из настройки тюрьмы xmlrpc.
[xmlrpc]
enabled = true
filter = xmlrpc
port = http,https
action = iptables[name=xmlrpc, port=http, protocol=tcp]
logpath = /var/log/apache2/access.log
bantime = 43600
maxretry = 0
Теперь работает отлично
1