Как настроить fail2ban для чтения мульти журнала в тюрьме?

20

Как настроить несколько лог-путей для одного и того же правила?

Я пытаюсь написать такой синтаксис:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

Пути все разные, поэтому я не могу использовать RE *

Каков правильный синтаксис для добавления большего количества журналов к правилу?

Max121
источник

Ответы:

20

Я попытался использовать тот же синтаксис и не получил ошибок при запуске fail2ban. Попробуйте это в вашем jail.conf, и если все же это не сработает, вы можете легко разделить ваше правило на несколько с одним лог-путем, например:

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

и т.п.

Это должно наконец работать:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Вы можете обратиться к http://centoshelp.org/security/fail2ban/ за информацией.

Meriadoc Brandybuck
источник
мой код не показывает ошибки, но не работает, как ожидалось. Fail2ban видит только одно правило журнала. Ваше решение заключается в том, что для каждого правила я должен создать файл в / filter.d? пример [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf и т. д.
Макс121
Да, я имею в виду это.
Meriadoc Brandybuck
Если вы имеете в виду, что это интересно, но это не лучшее решение, я думаю, создаст много дубликатов с одинаковыми правилами. Я думаю, что есть более элегантное решение для объединения нескольких журналов в правило. В любом случае, спасибо за сотрудничество.
Max121
Пожалуйста, проверьте мои издания в моем ответе выше. Ждем ваших результатов.
Meriadoc Brandybuck
1
2-я часть вашего ответа работает отлично, если вы дадите интервал «табуляции» для дополнительных журналов. Если нет «вкладки», то fail2ban выдает ошибку.
Хашид Хамид