我将我的fail2ban从0.9.x更新到0.10.x
之后,我的自定义过滤器不再起作用
该过滤器的功能是在apache的404页(未找到页面)上点击4次后就禁止ip
我在failregex中发现了一个问题。
2018-08-22 15:45:32,440 fail2ban.transmitter [23452]: WARNING Command ['set', 'apache-40', 'addfailregex', '(?P<host>[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "'] has failed. Received RegexException('No failure-id group in \'(?P<host>[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "\'',)
2018-08-22 15:45:32,440 fail2ban [23452]: ERROR NOK: ('No failure-id group in \'(?P<host>[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "\'',)
在这篇文章中,我发现了一些有关我需要添加新字符串的内容,因为ip6-support
https://github.com/fail2ban/fail2ban/issues/2130#issuecomment-391680328
我的原始文件是这个
[Definition]
failregex = (?P<host>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "
ignoreregex = favicon\.ico
对新字符串有何建议?
最佳答案
我建议将apache配置为不在这些经常收到404消息的位置附近记录任何内容。这样,保存的CPU和磁盘IO写入日志可用于您的实际访问者。
当您不需要fail2ban扫描日志时,也会节省CPU / IO时间。
避免让每个真正的访客都受到IP / nftables规则的约束,从而减慢了他们的访问速度。
您也将省去查看日志并专注于Internet的背景噪音而不是真正关心的访问者的痛苦。