fail2ban không cấm nhưng khớp nhật ký

Tôi cố gắng tạo một biện pháp bảo vệ brute force với fail2ban.Với thử nghiệm fail2ban, nó khớp với nhật ký tôi muốn khớp nhưng với thử nghiệm vũ phu của tôi buộc trang web có hơn 7 lần đăng nhập không thành công, nó không cấm địa chỉ ip của tôi.

lọc:

[Sự định nghĩa]
failregex = <HOST>:.*"POST /login.*" 200 .*$
bỏ quaregex =

nhà tù:

[shop-brute-force]
đã bật = đúng
bộ lọc = shop-brute-force
logpath = /etc/exampleorg/shop/log/access.log
tối đa = 7
thời gian tìm thấy = 60
bantime = 900
bỏ qua =

log ví dụ (ẩn danh với ..., 88.88.88.88 và example.org):

2022/04/01 08:09:25.413720 88.88.88.88:10729 - - [01/Apr/2022:08:09:25 +0000] "POST /login?target=%2Fshop%2F HTTP/1.1" 200 2192 " https://example.org/login?target=%2Fshop%2F" "..."

kiểm tra:

chạy thử nghiệm
=============

Sử dụng tệp bộ lọc failregex: shop-brute-force, basedir: /etc/fail2ban
Sử dụng tệp nhật ký: /home/user/test.log
Sử dụng mã hóa: UTF-8


Kết quả
=======

Failregex: tổng cộng 3
|- #) [# lần truy cập] biểu thức chính quy
| 1) [3] <HOST>:.*"POST /login.*" 200 .*$
`-

Bỏ qua regex: tổng cộng 0

Số lần truy cập mẫu ngày:
|- [# lần truy cập] định dạng ngày
| [106] Năm(?P<_sep>[-/.])Tháng(?P=_sep)Ngày 24 giờ:Phút:Giây(?:,Micro giây)?
`-

Dòng: 106 dòng, 0 bị bỏ qua, 3 khớp, 103 bị bỏ lỡ
[được xử lý trong 0,02 giây]

(Các) dòng bị thiếu: quá nhiều để in. Sử dụng --print-all-missed để in tất cả 103 dòng

Tôi cố gắng tạo một biện pháp bảo vệ brute force với fail2ban
failregex = ... 200 ...

Đây không nhất thiết là một nỗ lực vũ phu, vì 200 là phản hồi thông thường, điều đó có nghĩa là OK... Thông thường, các mã như 401 hoặc 403 sẽ báo hiệu các nỗ lực trái phép hoặc nếu dịch vụ trả lời bằng 200, nó sẽ ghi một mục nhập nhật ký bổ sung vào một số tệp nhật ký hoặc tạp chí (không nhất thiết phải vào truy cập.log). Nhưng cũng có một điều rất đáng nghi ngờ ở đây, chứ đừng nói về mặt lý thuyết, người ta có thể vũ phu bằng các phương pháp khác như BƯU KIỆN.

nhưng với thử nghiệm vũ phu của tôi đã buộc trang web có hơn 7 lần đăng nhập không thành công ...
Dòng: 106 dòng, 0 bị bỏ qua, 3 khớp, 103 bị bỏ lỡ

Bạn đã không cung cấp toàn bộ đoạn trích nhật ký tương ứng với 7 lần thử này. Và fail2ban-regex chỉ tìm thấy 3 trận đấu liên quan đến bạn thất bại (điều này không tốt chút nào, ví dụ: không được neo và có tất cả, tuy nhiên đừng bận tâm - các trận đấu không có ở đó). Có thể nó ghi nhật ký thứ gì đó khác dưới dạng một dòng nhật ký từ ví dụ của bạn, bởi vì RE của bạn về cơ bản phù hợp với điều đó. Vì vậy, vui lòng cập nhật câu hỏi của bạn với toàn bộ đoạn trích nhật ký tương ứng với tất cả 7 lần thử bạn đã thực hiện.

Và cuối cùng nhưng không kém phần quan trọng, RE tốt hơn nhiều có thể trông như thế này:

failregex = ^\s*<ADDR>:\d+ [^"]*"[A-Z]+ /login\b[^"]*" 200\b

Tuy nhiên, tôi vẫn không chắc bạn có thực sự sử dụng nó không (do vấn đề thứ 200 và cộng sự mà tôi đã đề cập ở trên).

Nếu nó chỉ là thử nghiệm (với 3 dòng nhật ký) và bạn thực sự thấy tất cả 7 dòng nhật ký trong nhật ký thực, bạn có thể kiểm tra điều này Câu hỏi thường gặp về những lý do có thể khiến fail2ban không cấm. Ví dụ, nó có thể không chính xác phụ trợ (đặt nó thành tự động để theo dõi liên quan đến tệp) hoặc lệnh cấm không phù hợp hoặc một số lỗi ở phía fail2ban (đồng thời kiểm tra fail2ban.log).