fail2ban ban multiplizieren rückfällige Hosts

8

Wir verwenden fail2ban auf unseren mit dem Web verbundenen Servern, um IP-Adressen zu blockieren, die sich wiederholt nicht ordnungsgemäß authentifizieren. Unsere normale Bantime beträgt hiermit eine Stunde; IPs, die bereits mehrmals gesperrt wurden, werden mithilfe des recidivein der fail2ban-Beispielkonfiguration enthaltenen Gefängnisses für einen Tag blockiert .

Diese Blockierungsdauer von einem Tag wurde gewählt, um dynamische IPs nicht zu stark zu beeinträchtigen, insbesondere wenn man bedenkt, dass das recursiveGefängnis nicht bestimmte Ports blockiert, sondern alle eingehenden Verbindungen. Wir möchten jedoch sehr hartnäckige Angreifer für einen längeren Zeitraum verbieten. Derzeit wird dies durch einen benutzerdefinierten super-recidiveFilter und ein Gefängnis erreicht. Dieses Gefängnis blockiert für eine ganze Woche jeden Host, der zweimal gesperrt wurde recidive(diese IP wird offensichtlich nicht dynamisch zugewiesen).

Im Idealfall möchte ich jedoch jede IP, die recidivein der Vergangenheit (z. B. eine Woche) verboten wurde und die nach dem Aufheben des Verbots von einem beliebigen Gefängnis erneut gesperrt wird, für eine Woche verbieten. Ich weiß, dass so etwas mit einem Komplex failregexeinschließlich Rückreferenzen möglich sein muss - aber gibt es eine elegantere Möglichkeit, dies zu tun?

Der Wolf
quelle

Antworten: