Sziasztok,
a fail2ban-nél a következőbe futottam bele. Ha jól gondolom a fail2ban log elemzésből gyűjti be az IP címeket. Ha hasonló szűrők vannak a configban (pop3, postfix, stb...) "biztonságosabb szűrés érdekében", akkor előfordul az, hogy több figyelmeztetés kerül a logba. Továbbá, ha újra indítom a fail2ban és pl: findtime-ot is használok, akkor a bejegyzések duplázódhatnak. Így pl: ip.blacklist-be is hamarabb bekerülnek az IP-k, ráadásul az is előfordulhat, hogy sok duplikáció is születik.
Kérdésem, hogy ezt hogy küszöbölitek ki? Az ip.blacklist-ből, hogyan lehetne kivenni a duplikált IP-ket automatikusan?
Köszi!
Kalmi
- 1447 megtekintés
Hozzászólások
Tudtommal a duplikációt ő kezeli is. Ami már bannolva van, azt nem fogja megint.
- A hozzászóláshoz be kell jelentkezni
Hát igen én is így gondoltam, de nem. A tapasztalatom, ha pl: újraindítom a Fail2ban-t, akkor átnézi a log-ot és utána újra ban-olja a ip.blacklist-ában szereplő IP-ket is.
- A hozzászóláshoz be kell jelentkezni
Ha rendesen újraindítod, akkor kiszed mindent (iptables-ből leginkabb) és újra összeszedi, hogy mit mennyi időre ban-oljon.
- A hozzászóláshoz be kell jelentkezni
Ha ezt a végleges megoldást használom http://www.looke.ch/wp/list-based-permanent-bans-with-fail2ban, akkor ez mit jelent. Egyáltalán az probléma-e, hogy ha duplikált az IP. Pl: lassíthatja-e a rendszert? Igazából abban sem vagyok 100%-os, hogy a végleges tiltás jó-e? Nem-e túl drasztikus?
- A hozzászóláshoz be kell jelentkezni