fail2ban apache повторил 401 запрос

Question

Я бы хотел, чтобы fail2ban повторил 401 ошибку на моем сайте

Моя запись в файле журнала ...

116.108.172.173 - - [28/Aug/2018:08:30:36 -0400] "GET / HTTP/1.1" 401 742

Моя попытка при сбое2бан конф

 [Definition]
 failregex = (?P<host>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) . . .+ .+ .+ .+ .+ 401 [0-9]+

Кажется, это не работает, есть идеи?

Answer 1

Fedora 27 / CentOS / RHEL

etc> fail2ban> filter.d> some-new-filter.conf

:: примеры отфильтровывания. cgi и 404 запросов, предотвращая что-либо кроме реального домена

:: реферер:

[Definition]
failregex = ^<HOST>.*(\.cgi\?).*$
            ^<HOST>.+\/.+\/.+\/.*\"\s(404)\s.*$
            ^<HOST>.+\/.+\/.+\/.*(\"http:\/\/some\.info\/.+\")\s.*$

затем: etc> fail2ban> jail.conf

[some-new-filter]
port     = http,https
logpath  = %(apache_access_log)s
           %(apache_error_log)s
maxretry = 2

Тест с:

fail2ban-regex /var/log/httpd/error_log /etc/fail2ban/filter.d/some-new-filter.conf
fail2ban-regex /var/log/httpd/access_log /etc/fail2ban/filter.d/some-new-filter.conf

Перезапустить fail2ban

Answer 2

Сохраняйте простое регулярное выражение.

[Definition]
failregex = ^<HOST> .+\" 401 \d+ .*$

должен сделать работу