如何自定义 ignoreregex 配置
如果您拥有的 Fail2ban 版本为 0.8 或更高版本,您的 jail.conf 文件将如下所示: 文件:/etc/fail2ban/jail.conf port = ssh logpath = %(sshd_log)s 接下来,如果您的系统使用 Fail2ban 0.8 或更高版本,它将包含defaults-*.conf以下过滤器: 文件:/etc/fail2ban/jail.d/defaults-*.conf enabled = true maxretry = 3 如果您想尝试测试当前过滤器,请运行示例命令并使用您喜欢的值切换logfile、failregex和。ignoreregex fail2ban-regex logfile failregex ignoreregex 如果我们使用本节开始的示例,命令将如下所示: fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf 您的 Fail2ban 过滤器需要与以下设备配合使用: 不同软件产生的日志类型不同 多种配置和多种操作系统 除上述内容外,您的过滤器还应与日志格式无关。它们还应受到 DDoS 攻击保护,并且必须与将来发布的其他软件版本兼容。如何自定义 ignoreregex 配置 在调整failregex配置之前,ignoreregex需要进行自定义。Fail2ban 需要了解哪些服务器活动被视为正常,哪些不正常。 例如:如果您设置过滤ignoreregex由这些程序创建的日志,则可以排除活动 cron 在您的服务器或 MySQL 上运行: 文件:/etc/fail2ban/filter.d/sshd.conf 电报号码数据 ignoreregex = : pam_unix\((cron|sshd):session\): session (open|clos)ed for user (daemon|munin|mysql|root)( by \(uid=0\))?$ : Successful su for (mysql) by root$ New session \d+ of user (mysql)\.$ Removed session \d+\.$ failregexs现在您已经过滤了每个程序的日志,您可以自由地进行调整以阻止任何您喜欢的内容。 如何自定义 Failregexs Fail2ban 包含许多过滤器,但您可能希望进一步自定义它们或根据个人需求制作自己的过滤器。Fail2ban 使用正则表达式 (regex) 来解析日志文件、搜索密码失败和入侵尝试。Fail2ban 使用 Python 的正则表达式扩展。 了解 failregex 功能的最有效方法是什么?自己写一个。
https://www.walhallacivicauditorium.com/wp-content/uploads/2024/07/电报号码数据-2-1.png
虽然我们不建议让 Fail2ban 监控流量很大的网站上的 WordPress 的 access.log(因为 CPU 问题),但它确实提供了一个易于理解的日志文件实例,您可以利用它来了解任何 failregex 的创建。 编写 Fail2ban 正则表达式 转到您的网站access.log(通常位于/var/www/example.com/logs/access.log)并找到失败的登录尝试。它将看起来像: 文件:/var/www/example.com/logs/access.log 123.45.67.89 - - "POST /wp-login.php HTTP/1.1" 200 1906 "http://example.com/wp-login.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:40.0) Gecko/20100101 Firefox/40.0" 您只需追踪最多 200 个: 文件:/var/www/example.com/logs/access.log 123.45.67.89 - - "POST /wp-login.php HTTP/1.1" 200 失败尝试所来自的 IP 地址将始终定义为。
頁:
[1]