Назад | Перейти на главную страницу

LFD всегда перестает работать примерно через 30 дней, пока я не дам /etc/csf/csf.pl -r

Когда я даю /etc/csf/csf.pl -r , Я вижу, как много строк стирается, затем я снова начинаю получать электронные письма с уведомлениями (несколько писем в день), например:

Time:     Wed Sep 12 08:39:47 2012 +0800
IP:       221.13.104.162 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

Sep 12 08:39:25 MyHost sshd[9677]: Failed password for root from 221.13.104.162 port 51106 ssh2
Sep 12 08:39:28 MyHost sshd[9712]: Failed password for root from 221.13.104.162 port 51690 ssh2
Sep 12 08:39:32 MyHost sshd[9739]: Failed password for root from 221.13.104.162 port 52128 ssh2
Sep 12 08:39:36 MyHost sshd[9778]: Failed password for root from 221.13.104.162 port 52670 ssh2
Sep 12 08:39:40 MyHost sshd[9821]: Failed password for root from 221.13.104.162 port 53155 ssh2

А потом примерно через 30 дней письма перестают приходить, как будто что-то заполнилось и требует повторной очистки.

Я мало что знаю о CSF / LFD, но я мог предположить, что это будет работать в режиме FIFO, поэтому он должен иметь возможность работать бесконечно в ограниченном пространстве.

Мой /etc/csf/version.txt говорит 4.83

Моя кошка / proc / version говорит Linux version 2.6.18-028stab066.8 (root@rhel5-64-build) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Fri Nov 27 20:19:25 MSK 2009

По умолчанию демон сбоя входа в систему (LFD) временно блокирует IP-адрес только определенное количество раз за попытку перебора службы перед тем, как навсегда заблокировать этот IP-адрес. Предположительно, в этот момент вы больше не будете видеть электронные письма с уведомлениями о временных блоках. Соответствующие настройки находятся в csf.conf. Найдите "LF_PERMBLOCK". Кроме того, идея FIFO верна. CSF будет блокировать максимальное количество IP-адресов, определенное директивами конфигурации DENY_IP_LIMIT и DENY_TEMP_IP_LIMIT, после чего самый старый (первый) заблокированный IP-адрес будет разблокирован в пользу нового нарушителя.

Я считаю, что перезапуск CSF очистит списки блокировки LFD.

Я рекомендую прочитать сценарии конфигурации и просмотреть ваши журналы, чтобы убедиться, что это именно то, что происходит.

Источник: http://configserver.com/free/csf/readme.txt, csf.conf в http://www.configserver.com/free/csf.tgz