Я установил и запустил fail2ban. Глядя на apache и безопасный лог, там явно много спама. Но fail2ban еще ничего не заблокировал

sudo iptables -L INPUT -v -n | less
fail2ban-client status

Как повторно обработать как безопасный, так и лог apache, чтобы запретить прошлые попытки взлома?

1 ответ1

0

Поскольку Fail2Ban просто просматривает файлы журналов во время их записи, просто воспроизводите их. Вы можете сделать это с помощью команды cat /path/to/old-log.file >> /path/to/log.file во время работы fail2ban. Обратите внимание, что это, конечно, вставит старый файл журнала в середину вашего нового файла журнала, поэтому вы можете захотеть повернуть файлы журнала до и после того, как вы это сделали.

Тем не менее, я считаю, что вы, скорее всего, "делаете это неправильно", так как это не то, для чего предназначен Fail2Ban. Fail2Ban обычно отменяет блокировку IP-адресов по прошествии нескольких минут - AFAIK не имеет встроенного механизма для сохранения запретов, и его собственное руководство описывает его как набор серверных и клиентских программ для ограничения попыток аутентификации методом перебора. - IE не предназначен для долгосрочных запретов - и не должно быть, так как IP-адреса злоумышленников меняются, и вы вполне можете получить отказ в обслуживании законным пользователям. (Он предназначен для замедления атак методом "грубой силы" - разница во времени для перебора составляет 1800 раз со скоростью, скажем, 5 паролей за 15 минут и 10 в секунду.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .