Заметив неоднократные попытки доступа к предполагаемым ресурсам webadmin на моем сервере блоками с помощью одних и тех же IP-адресов (то есть повторяющиеся попытки с каждого IP-адреса в длинном списке «общих» ресурсов веб-администратора сервера, например / phpmyadmin, / mysql и т. Д.), Я ' Мы настроили пользовательский фильтр fail2ban (и тюрьму), который успешно протестировал в fail2ban-regex мой apache2 / access.log, показывая 55 «попаданий» (кажется, без проверки):
[INCLUDES]
before = apache-common.conf
[Definition]
failregex = '^<HOST> - - .*"GET \/phpmyadmin|"GET \/phpMyAdmin|"GET \/pma\/|"GET \/myadmin|"GET \/admin|"GET \/mysql.*$'
ignoreregex = ''
В журнале fail2ban.log отображается загруженная новая тюрьма. Однако ни один из нескольких вызывающих нарушение IP-адресов в текущем apache2 / access.log не отображается в журнале fail2ban.log после перезапуска.
Я понимаю, что f2b запрещает текущие журналы, не дожидаясь новых записей журнала.
Означает ли это, что новый фильтр и тюрьма не работают должным образом?
Спасибо!
Насколько я понимаю, fail2ban игнорирует любые записи журнала старше, чем findtime установка для джейла (по умолчанию 600 секунд).