Kích hoạt bộ lọc mặc định PHPMYADMIN Logging & Fail2ban

Tôi đang dùng Debian 10.5 LAMP với ISPConfig, chạy PHPMYADMIN 4.9.0.1.

Tôi đã cài đặt phpmyadmin sau hướng dẫn này Tôi chỉ có thể đoán rằng bằng cách nào đó ISPConfig có thể đang làm gián đoạn điều gì đó.

Trong mọi trường hợp, tôi đang cố thiết lập bộ lọc phpmyadmin-syslog.conf mặc định cho fail2ban để bảo vệ phpmyadmin.

Vấn đề:
ghi nhật ký pma dường như không hoạt động theo tài liệu.

Tôi đã thử 3 phương pháp để bật ghi nhật ký:

trong tôi /usr/share/phpmyadmin/config.inc.php Tôi đã thêm:

$cfg['AuthLog'] = 'tự động';

Cái nào sẽ xuất ra những lần đăng nhập thất bại thành nhật ký hệ thống hoặc php theo tài liệu
https://docs.phpmyadmin.net/en/latest/config.html

tôi đã thử
thiết lập hiện tại
$cfg['AuthLog'] = 'syslog';

Tuy nhiên, không phải /var/log/auth.log , cũng không /var/log/syslog đã ghi lại những lần đăng nhập không thành công.

Tôi cũng đã thử:
$cfg['AuthLog'] = '/var/log/phpmyadmin-auth.log';

và đã cấp quyền đối với nhật ký cho người dùng dữ liệu www bằng cách sử dụng (lưu ý: không chắc điều này có đúng không, pma là người dùng kiểm soát)

#chown www-data:www-data /var/log/phpmyadmin-auth.log và
#chmod 755 /var/log/phpmyadmin-auth.log

Của tôi /etc/fail2ban/jail.local tập tin chứa:

[phpmyadmin-auth]
đã bật = đúng
cổng = https, https
bộ lọc = phpmyadmin-syslog
logpath = /var/log/syslog
thử lại tối đa = 3

và mặc định /etc/fail2ban/filter.d/phpmyadmin-syslog.conf chứa:

# Fail2Ban điều chỉnh cho phpMyAdmin-syslog
#
[BAO GỒM]
trước = common.conf

[Sự định nghĩa]
_daemon = phpMyAdmin
failregex = ^%(__prefix_line)suser bị từ chối: (?:\S+|.*?) \(mysql-denied\) from <HOST>\s*$
bỏ quaregex =
# Tác giả: Pavel Mihadyuk
# Sửa lỗi Regex: Serg G. Brester

(không có mẹo hữu ích nào để bật ghi nhật ký phpyadmin)

Có ai biết tôi đang thiếu gì không?

Tôi đang dùng Ubuntu 20.04.

Tôi đã không sửa đổi tệp cấu hình phpmyadmin theo bất kỳ cách nào (mặc định khi cài đặt). Trong config.inc.php của tôi, tôi có...

$cfg['AuthLog'] = 'tự động';

...và tất cả các lỗi xác thực của tôi đều xuất hiện trong /var/log/auth.log. Vì vậy, tôi đoán rằng hướng dẫn là sai trong trường hợp của tôi.

Bất cứ khi nào tôi cố gắng đăng nhập bằng mật khẩu trống, tôi nhận được:

Ngày 13 tháng 2 23:42:42 tên máy chủ phpMyAdmin[516146]: người dùng bị từ chối: sdasdas (từ chối trống) từ xxx.xxx.xxx.xxx

Bất cứ khi nào tôi cố đăng nhập bằng tên người dùng/mật khẩu sai, tôi nhận được:

Ngày 13 tháng 2 23:42:42 tên máy chủ phpMyAdmin[516146]: người dùng bị từ chối: sdasdas (mysql-denied) from xxx.xxx.xxx.xxx

Bộ lọc của tôi tất nhiên là giống như của bạn. Bây giờ bạn có thể thấy lý do tại sao bộ lọc chính xác và sẽ chỉ xác định trường hợp thứ hai ở trên. Nó sẽ không quan tâm đến mật khẩu trống.

^%(__prefix_line)suser bị từ chối: (?:\S+|.*?) \(mysql-denied\) from <HOST>\s*$

Ngoài ra mục nhập jailbreak.local của bạn có vẻ đúng. Của tôi là:

[phpmyadmin-syslog]
đã bật = đúng
bộ lọc = phpmyadmin-syslog
thử nghiệm tối đa = 1
thời gian tìm = 30d
bantime = 600
bantime.rndtime = 100
bantime.increment = true
bantime.factor = 24
bantime.maxtime = 6w

Bạn sẽ nhận thấy rằng tôi thậm chí không đề cập đến tệp nhật ký trong nhà tù. Fail2ban rõ ràng là biết tìm ở đâu (tôi đã logpath = /var/log/auth.log nhưng tôi đã gỡ bỏ nó và vẫn hoạt động). Ngay khi tôi nhập sai cặp thông tin đăng nhập, tôi có thể thấy nó bị fail2ban phát hiện bằng lệnh này:

 đuôi sudo -f /var/log/fail2ban.log

Hãy nhớ rằng nếu bạn thay đổi cấu hình fail2ban, bạn không phải khởi động lại fail2ban. Bạn chỉ có thể tải lại cấu hình với điều này:

dịch vụ sudo fail2ban tải lại