我将我的fail2ban从0.9.x更新到0.10.x
之后,我的自定义过滤器不再起作用 该过滤器的功能是在apache的404页(未找到页面)上点击4次后就禁止ip
我在failregex中发现了一个问题。
2018-08-22 15:45:32,440 fail2ban.transmitter [23452]: WARNING Command ['set', 'apache-40', 'addfailregex', '(?P<host>[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "'] has failed. Received RegexException('No failure-id group in \'(?P<host>[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "\'',)
2018-08-22 15:45:32,440 fail2ban [23452]: ERROR NOK: ('No failure-id group in \'(?P<host>[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "\'',)
在这篇文章中,我发现了一些有关我需要添加新字符串的内容,因为ip6-support https://github.com/fail2ban/fail2ban/issues/2130#issuecomment-391680328
我的原始文件是这个
[Definition]
failregex = (?P<host>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) .+ 4[0-9]{1,2} [0-9]+ "
ignoreregex = favicon\.ico
有没有建议新字符串呢?
答案 0 :(得分:0)
我建议将apache配置为不在这些经常收到404消息的位置附近记录任何内容。这样,保存日志的CPU和磁盘IO可以用于您的实际访问者。
当您不需要fail2ban扫描日志时,也会节省CPU / IO时间。
每个真正的访问者都免于受到IP / nftables规则的限制,从而减慢了他们的访问速度。
您还将省去查看日志并专注于互联网的背景噪音而不是真正关心的实际访问者的痛苦。