Я хотел бы знать, если у кого-то есть такая же проблема, как у меня, или кто-то знает, как его отладить:
В настоящее время я ищу, как я могу запретить людям, которые пытаются подключиться к моему GLPI вЧтобы защитить его от брутфорсеров.Вот почему я установил «Fail2ban»:
nano /etc/fail2ban/jail.conf
[glpi]
enabled = true
filter = glpi
port = http, https
logpath = /var/www/glpi/files/_log/event.log
maxretry = 3
nano /etc/fail2ban/filter.d/glpi.conf
[INCLUDES]
before = common.conf
[Definition]
failregex = Connexion échouée de \w+ depuis l\’IP <HOST>
ignoreregex =
/etc/init.d/fail2ban restart
Но, когда я пытаюсь посмотреть, какие строки соответствуют моему регулярному выражению с помощью этой команды:
fail2ban-regex /var/www/glpi/files/_log/event.log /etc/fail2ban/filter.d/glpi.conf /etc/fail2ban/filter.d/glpi.conf
У меня нет результатов (0 строкасовпало).
Затем я решил попробовать это регулярное выражение как ignoreregex:
nano /etc/fail2ban/filter.d/glpi.conf
[INCLUDES]
before = common.conf
[Definition]
failregex =
ignoreregex = Connexion échouée de \w+ depuis l\’IP <HOST>
И я делаю ту же команду, что и выше ( fail2ban-regex ).У меня есть 20 строк, которые «игнорируются» [imo, это доказывает, что с моим регулярным выражением все в порядке].
Пока, curumo29.
P.S : The tag <HOST> is the same as (?:::f{4,6}:)?(?P<host>\S+) which permits to get and block the IP address of the bruteforcer with iptables [this tag is mandatory by fail2ban]