Como configurar o fail2ban para ler o log múltiplo em uma prisão?

20

Como posso configurar vários caminhos de log para a mesma regra?

Estou tentando escrever uma sintaxe como esta:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

Os caminhos são todos diferentes, então não posso usar o RE *

Qual é a sintaxe correta para colocar mais logs em uma regra?

log-files  fail2ban 
Max121
fonte

Respostas:

20

Tentei usar a mesma sintaxe e não obtive erros ao iniciar o fail2ban. Tente isso no seu jail.conf e, no entanto, se não funcionar, você pode facilmente dividir sua regra em várias com um único caminho de registro, por exemplo:

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

etc.

Finalmente, isso deve funcionar:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Você pode consultar http://centoshelp.org/security/fail2ban/ para obter informações.

Meriadoc Brandybuck
fonte
meu código não mostra erros, mas não funciona conforme o esperado. Fail2ban vê apenas uma regra de log. Sua solução é que, para cada regra, eu tenho que criar um arquivo em / filter.d? exemplo [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf etc.
Max121
Sim, eu quis dizer isso.
Meriadoc Brandybuck 9/13
Se você quer dizer que isso é interessante, mas não é a melhor solução, eu acho, criaria muitas duplicatas com as mesmas regras. Eu acho que existe uma solução mais elegante para mesclar vários logs em uma regra. De qualquer forma, obrigado pela colaboração.
precisa saber é o seguinte
Por favor, verifique minhas edições na minha resposta acima. Aguardamos seus resultados.
Meriadoc Brandybuck 9/13
11
A segunda parte da sua resposta funciona perfeitamente se você especificar o espaçamento "tab" para os logs extras. Se não houver "tab", o fail2ban lança um erro.
Hashid Hameed
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.