Come configurare fail2ban per leggere il multi log in una prigione?


20

Come posso configurare più percorsi di log per la stessa regola?

Sto cercando di scrivere una sintassi come questa:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

I percorsi sono tutti diversi, quindi non posso usare RE *

Qual è la sintassi corretta per inserire più registri in una regola?

Risposte:


20

Ho provato a utilizzare la stessa sintassi e non ho riscontrato errori durante l'avvio di fail2ban. Prova questo nel tuo jail.conf e se tuttavia non funziona puoi facilmente dividere la tua regola in più di una con un unico logpath, es .:

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

eccetera.

Questo dovrebbe finalmente funzionare:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Puoi consultare http://centoshelp.org/security/fail2ban/ per informazioni.


il mio codice non mostra errori, ma non funziona come previsto. Fail2ban vede solo una regola di registro. La tua soluzione è che per ogni regola devo creare un file in / filter.d? esempio [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf ecc.
Max121

Sì, intendo quello.
Meriadoc Brandybuck,

Se vuoi dire che è interessante, ma non è la migliore soluzione, penso, creerebbe molti duplicati con le stesse regole. Penso che ci sia una soluzione più elegante per unire più log in una regola In ogni caso, grazie per la collaborazione.
Max121

Per favore, controlla le mie edizioni nella mia risposta sopra. In attesa di risultati.
Meriadoc Brandybuck,

1
La seconda parte della tua risposta funziona perfettamente se dai spazio "tab" per i registri extra. Se non è presente "tab" fail2ban genera un errore.
Hashid Hameed arrivò
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.