Làm cách nào để thiết lập fail2ban để đọc nhiều bản ghi trong tù?

20

Làm cách nào tôi có thể định cấu hình nhiều logpath cho cùng một quy tắc?

Tôi đang cố gắng viết một cú pháp như thế này:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

Các đường dẫn đều khác nhau, vì vậy tôi không thể sử dụng RE *

Cú pháp chính xác để đặt nhiều bản ghi hơn cho một quy tắc là gì?

log-files  fail2ban 
Tối đa 121
nguồn

Câu trả lời:

20

Tôi đã thử sử dụng cú pháp tương tự và không gặp lỗi khi khởi chạy fail2ban. Hãy thử điều này trong jail.conf của bạn và nếu nó không hoạt động, bạn có thể dễ dàng phân chia quy tắc của mình thành nhiều quy tắc với một logpath duy nhất, ví dụ:

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

v.v.

Điều này cuối cùng sẽ hoạt động:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Bạn có thể tham khảo http://centoshelp.org/security/fail2ban/ để biết thông tin.

Meriadoc Brandybuck
nguồn
mã của tôi không hiển thị lỗi, nhưng không hoạt động như mong đợi. Fail2ban chỉ thấy một quy tắc đăng nhập. Giải pháp của bạn là với mọi quy tắc tôi phải tạo một tệp trong / filter.d? Ví dụ [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf, vv
Tối đa 121
Vâng, ý tôi là thế
Meriadoc Brandybuck
Nếu bạn muốn nói điều này thật thú vị, nhưng nó không phải là giải pháp tốt nhất tôi nghĩ, sẽ tạo ra nhiều bản sao với cùng một quy tắc. Tôi nghĩ rằng có một giải pháp thanh lịch hơn để hợp nhất nhiều bản ghi thành một quy tắc Trong mọi trường hợp, cảm ơn bạn đã cộng tác.
Max121
Xin vui lòng, kiểm tra phiên bản của tôi trong câu trả lời của tôi ở trên. Mong chờ kết quả của bạn.
Meriadoc Brandybuck
1
Phần thứ 2 của câu trả lời của bạn hoạt động hoàn hảo nếu bạn cung cấp khoảng cách "tab" cho các bản ghi bổ sung. Nếu không có "tab" fail2ban sẽ ném lỗi.
Hashid Hameed
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.