Как сделать файлы журнала повторной обработки fail2ban?

319
Nabil Sham

Я установил и запустил fail2ban. Глядя на apache и безопасный лог, там явно много спама. Но fail2ban еще ничего не заблокировал

sudo iptables -L INPUT -v -n | less fail2ban-client status 

Как повторно обработать как безопасный, так и лог apache, чтобы запретить прошлые попытки взлома?

0

1 ответ на вопрос

0
davidgo

Поскольку Fail2Ban просто просматривает файлы журналов во время их записи, просто воспроизводите их. Вы можете сделать это с помощью команды cat /path/to/old-log.file >> /path/to/log.file во время работы fail2ban. Обратите внимание, что это, конечно, вставит старый файл журнала в середину вашего нового файла журнала, так что вы можете захотеть повернуть файлы журнала до и после того, как вы это сделали.

Тем не менее, я считаю, что вы, скорее всего, «делаете это неправильно», так как это не то, для чего предназначен Fail2Ban. Fail2Ban обычно отменяет блокировку IP-адресов через несколько минут - AFAIK не имеет встроенного механизма для сохранения запретов, и его собственное руководство описывает его как набор серверных и клиентских программ для ограничения попыток проверки подлинности методом "грубой силы". - IE не предназначен для долгосрочных запретов - и не должно быть, так как IP-адреса злоумышленников меняются, и вы вполне можете получить отказ в обслуживании законным пользователям. (Он предназначен для замедления атак методом «грубой силы» - разница во времени для перебора составляет 1800 раз со скоростью, скажем, 5 паролей за 15 минут и 10 в секунду.

Похожие вопросы