V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
glouhao
V2EX  ›  Linux

求教 fail2ban 在 filter.d 增加配置的问题

  •  
  •   glouhao · 2018-08-31 01:34:30 +08:00 · 2819 次点击
    这是一个创建于 2310 天前的主题,其中的信息可能已经有所发展或是发生改变。
    具体操作如下:
    vi /etc/fail2ban/filter.d/wordpress.conf 输入以下内容:
    [Definition]
    failregex = ^<HOST> -.* /wp-login.php.* HTTP/1\.."
    ignoreregex =
    在 jail.local 中增加:
    [wordpress]
    enabled = true
    port = http,https
    filter = wordpress
    logpath = /var/log/auth.log
    maxretry = 20
    bantime = 3600
    然后重启 fail2ban:ystemctl restart fail2ban
    当时说是什么错误,经过检查是没有 /var/log/auth.log 这个文件,然后手动建立后可以运行了。但是我发现这个文件内容一直是空的,我尝试错误登陆几次,这个文件没有任何记录。我把他的权限改成 755,试了几次,还是不行,求高人指点迷津。
    9 条回复    2018-08-31 16:23:32 +08:00
    xiaoz
        1
    xiaoz  
       2018-08-31 02:56:33 +08:00 via Android
    logpath 指的是你需要监控哪个日志,从你上面的配置看应该填写网站日志的路径。
    thedrwu
        2
    thedrwu  
       2018-08-31 02:58:36 +08:00 via Android
    有些系统默认没有 auth.log ,比如 fedora。
    liangzi
        3
    liangzi  
       2018-08-31 06:15:25 +08:00 via Android
    同意#1 说法。另外 修改配置文件后 官网文档意思是先 fail2ban-client reload 然后再重启服务...
    glouhao
        4
    glouhao  
    OP
       2018-08-31 08:40:50 +08:00
    @liangzi
    @xiaoz
    @thedrwu
    谢谢大家,我的系统是腾讯云上的 centos7,另外教程参考了几个,错误都是没有文件,我昨天也试了试把网址日志换上去了,但是查到了老外的提问:
    https://superuser.com/questions/1119514/fail2ban-failed-to-start-on-centos-7-missing-var-log-secure-file
    我就又改回去,创建了个文件。如果是要读网站日志的话,那如果多个 wp 咋弄呢,然后如果要防止网站 CC 攻击,也要用网站日志了?比较完整的文档有没有中文的,我是个做推广的,只是用 wp 建些网站,各种教程都是针对有基础的,我这有点晕头转向啊。
    glouhao
        5
    glouhao  
    OP
       2018-08-31 08:50:37 +08:00
    还有个教程是监控 /usr/local/nginx/logs/access.log 这个文件 也木有。。
    liangzi
        6
    liangzi  
       2018-08-31 09:16:24 +08:00
    @glouhao 你如果使用 nginx 的话 在 /etc/fail2ban/jail.local 写上监控 nginx 的相关信息就行了。access.log 日志一般在这里 /var/log/nginx/access.log 另外 jail.local 可以写入不同的监控对象比如[sshd] .....[nginx] [apache2] CentOS7 的系统没有 /var/log/secure 文件的 systemd 的管理日志是 journalctl。查看日志 journalctl -u sshd journalctl -u nginx.service
    glouhao
        7
    glouhao  
    OP
       2018-08-31 14:24:30 +08:00 via Android
    @liangzi 我又发展和奇怪的事,ssh 防破解那个,我设置的 5 次,测试第六次会说大概连接频率高,服务器拒绝,然后继续还能连,我把次数改成 5 以下,才能 ban,是不是和什么东西冲突了。
    liangzi
        8
    liangzi  
       2018-08-31 14:40:52 +08:00 via Android
    @glouhao 不知道。。。我也是刚上这家伙
    glouhao
        9
    glouhao  
    OP
       2018-08-31 16:23:32 +08:00 via Android
    @liangzi 加油 我先基本防护了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5477 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:57 · PVG 16:57 · LAX 00:57 · JFK 03:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.