Tham gia Đăng nhập
Điểm:1
avatar Server

Bộ lọc Fail2ban cho mongodb

lá cờ sv
Toncy John

Phiên bản Fail2Ban: 0.10.2

Tôi đã thử rất nhiều tệp cấu hình bộ lọc để xác thực từ xa MongoDB không thành công, không có tệp nào hoạt động, tôi nhận thấy rằng sự cố là do failregex và tôi không thể tìm ra một biểu thức chính quy phù hợp.

{"$date":"2021-08-10T17:27:13.498+05:30"},"s":"I", "c":"ACCESS", "id":20249, "ctx":" conn187","msg":"Xác thực thất bại","attr":{"cơ chế":"SCRAM-SHA-256","suy đoán":true,"principalName":"Quản trị viên","xác thựcDatabase":"quản trị viên" ,"remote":"123.456.789.123:60054","extraInfo":{},"lỗi":"AuthenticationFailed: xác thực SCRAM không thành công, storedKey không khớp"}}

Đây là nhật ký mongo tôi nhận được khi thử không thành công. Tôi đã thử sử dụng <HOST>, <ADDR> trong biểu thức chính quy nhưng <HOST> cho 0.0.0.0 và <ADDR> cho 3:6005 (chữ số cuối của IP và 4 chữ số của cổng).

Điều gì sẽ là regex thích hợp để lọc nhật ký này?

Regex tôi đã thử

^(.*Xác thực không thành công.*)|(.*<ADDR>.*)|$
^(.*Xác thực không thành công.*)|(.*<HOST>.*)|$
109
1 + 3
lá cờ sv
Toncy John
@MichaelHampton Tôi đã thêm biểu thức chính quy mà tôi đã sử dụng. Với regex đã đề cập, fail2ban có thể phát hiện sau khi thử lại tối đa nhưng nó không nhận được IP đúng cách
0
Hồi đáp
mforsetti avatar
lá cờ tz
mforsetti
uh fail2ban cho mongodb? bạn có nên đưa cơ sở dữ liệu của mình ra internet công cộng không?
0
Hồi đáp
lá cờ sv
Toncy John
@mforsetti cơ sở dữ liệu tôi đang hiển thị trên internet công cộng chỉ được sử dụng để thử nghiệm trong khi phát triển nên đây không phải là vấn đề. Ngoài ra, lý do thiết lập fail2ban là hoạt động như một biện pháp bảo mật bổ sung để bù đắp cho điều này.
0
Hồi đáp
Điểm:0
sebres avatar Server
lá cờ il
sebres
  1. https://github.com/fail2ban/fail2ban/issues/2932
  2. https://github.com/fail2ban/fail2ban/issues/3046

trong thời gian ngắn:

[Sự định nghĩa]

datepattern = ^\{"t":\{"\$date":"%%Y-%%m-%%dT%%H:%%M:%%S\.%%f%%z"} \s*,\s*
_groupre = (?:"(?!(?:msg|attr|client|remote)\b)\w+":(?:"[^"]+"|\w+)\s*[,\}]\ S*)
failregex = ^%(_groupre)s*"msg":"Xác thực không thành công"\s*,\s*%(_groupre)s*"attr"\s*:\s*\{%(_groupre)s*"( ?:client|remote)":"<ADDR>:\d+"
0 + 2
lá cờ sv
Toncy John
Điều này hoạt động, cảm ơn vì giải pháp. Về việc đưa cơ sở dữ liệu ra internet công cộng, nó sẽ an toàn đến mức nào với cụm mật khẩu mạnh và fail2ban được triển khai?
0
Hồi đáp
sebres avatar
lá cờ il
sebres
Khó mà nói ra được. Fail2ban sẽ chỉ làm giảm nguy cơ thành công của bruteforce (ví dụ: giảm đáng kể số lần thử), nhưng chẳng hạn, nó sẽ không thực sự bảo vệ chống lại một số lỗ hổng (nếu có hoặc sẽ được giới thiệu trong tương lai). Vì vậy, nếu có thể, tốt hơn hết là bảo vệ nó bằng tường lửa (ví dụ: bộ lọc mạng liệt kê danh sách trắng một số máy chủ/địa chỉ được phép giao tiếp với mongodb, hoặc http- hoặc port-knocking, v.v.).
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.