Страница 3 из 3 ПерваяПервая 123
Показано с 21 по 24 из 24

Тема: File2ban. Защита ISPmanager 5.

  1. #21
    Junior Member
    Регистрация
    30.06.2015
    Сообщений
    2

    По умолчанию

    Цитата Сообщение от Klinch Посмотреть сообщение
    brus46,
    В таком случае этот код должен работать:

    /etc/fail2ban/jail.local
    Код:
    enabled   = true
    port      = 80,443,1500
    filter    = ispmanager
    banaction = iptables-multiport
    action    = %(action_mwl)s
    logpath   = /usr/local/mgr5/var/ispmgr.log
    findtime  = 600
    maxretry  = 6
    bantime   = 3600
    /etc/fail2ban/filter.d/ispmanager.conf
    Код:
    [Definition]
    failregex = .*journal INFO Request \[<HOST>\]\[\] 'func=auth.*
    ignoreregex =


    Срабатывать будет даже если пользователь верно авторизовался 6 раз за 10 минут, поэтому не рекомендую ставить большие значения bantime и маленькие значения maxretry.

    Если ISP System добавят в лог ispmgr.log примерно такую строку при не успешной авторизации:
    Код:
    Sep 24 13:46:22 [2847:606] journal INFO Request [77.232.232.32][] 'func=auth&lang=ru&password=*&redirect=&username=xaker' status=failed
    а при успешной:
    Код:
    Sep 24 13:46:22 [2847:606] journal INFO Request [77.232.232.32][] 'func=auth&lang=ru&password=*&redirect=&username=xaker' status=success
    то можно будет сделать, чтобы фильтр срабатывал только в случае, если пользователь ввёл неверный пароль.
    Начиная с версии 0.9.1 Fail2Ban поддерживает многострочную проверку с помощью Regex, для этого в файле фильтра, до раздела [Definition], надо указать макс. количество строк:

    Код:
    [Init]
    maxlines = 11
    Само регулярное выражение проверки выглядит так:
    Код:
    [Definition]
    
    failregex = ^.*INFO Request \[<HOST>\]\[\] 'func=auth.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*'badpassword'.*$
    
    ignoreregex =
    Так мы получаем 100% гарантию блокировки только тех адресов, что ввели некорректные данные авторизации.

    За счёт проверки по 11 строк (в вашем случае может быть по другому), скорость обработки логов значительно увеличивается. Например, лог размером в 100МБ обрабатывается за 66 сек.

  2. #22
    Junior Member
    Регистрация
    15.11.2007
    Сообщений
    27

    По умолчанию

    Есть работающий вариант для блокировки брутфорсеров?
    Панель лежит от брутфорса!

  3. #23
    Junior Member
    Регистрация
    15.11.2007
    Сообщений
    27

    По умолчанию

    Job for fail2ban.service failed because the control process exited with error code. See "systemctl status fail2ban.service" and "journalctl -xe" for details.

  4. #24
    Junior Member
    Регистрация
    15.11.2007
    Сообщений
    27

    По умолчанию

    Без строки action = %(action_mwl)s запускается но не банит.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •