Я хотел знать, есть ли у кого-то такая же проблема, как у меня, или кто-то знал, как ее отлаживать:
В настоящее время я ищу, как заблокировать людей, которые пытаются подключиться к моему GLPI, чтобы защитить его от брутфорсеров. Вот почему я установил «Fail2ban»:
nano /etc/fail2ban/jail.conf
[glpi]
enabled = true
filter = glpi
port = http, https
logpath = /var/www/glpi/files/_log/event.log
maxretry = 3
nano /etc/fail2ban/filter.d/glpi.conf
[INCLUDES]
before = common.conf
[Definition]
failregex = Connexion échouée de \w+ depuis l\’IP <HOST>
ignoreregex =
/etc/init.d/fail2ban restart
Но когда я пытаюсь увидеть, какие строки соответствуют моему регулярному выражению, с помощью этой команды:
fail2ban-regex /var/www/glpi/files/_log/event.log /etc/fail2ban/filter.d/glpi.conf /etc/fail2ban/filter.d/glpi.conf
У меня нет результатов (соответствует 0 строк).
Затем я решил попробовать это регулярное выражение как ignoreregex:
nano /etc/fail2ban/filter.d/glpi.conf
[INCLUDES]
before = common.conf
[Definition]
failregex =
ignoreregex = Connexion échouée de \w+ depuis l\’IP <HOST>
И я делаю ту же команду, что и выше (fail2ban-regex). У меня 20 строк «проигнорированы» [imo, это доказывает, что мое регулярное выражение в порядке].
Пока, curumo29.
P.S : The tag <HOST> is the same as (?:::f{4,6}:)?(?P<host>\S+) which permits to get and block the IP address of the bruteforcer with iptables [this tag is mandatory by fail2ban]