Apache / Fail2ban : trop brutal?

Salut la communauté,

J’ai un serveur que j’utilise un peu pour tout, mais comme il y a un serveur ssh et apache (pas de site, juste du reverse proxy), il y a de plus en plus de test de vulnérabilité contre celui-ci.

Du coup j’ai décidé de blindé tout ça !

Je me suis fais une jail avec ceci :

[apache-banroot]
enabled = true
filter  = apache-banroot
logpath = /var/log/apache2/access.log
maxretry = 1
bantime = -1
action = iptables-multiport[name=BanRoot, port="http,https"]

et comme filter :

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# apache-common.local
before = apache-common.conf

[Definition]

failregex = ^<HOST> -.*"(GET|POST).*/.*$
ignoreregex = ^<HOST> -.*"(GET|POST).*/myhiddenservice/.*$
datepattern = \[(%%d/%%b/%%Y:%%H:%%M:%%S %%z)\]

Au final ça marche plutôt bien, ça ban def tout ceux qui accède au serveur http par la racine. Vous pensez que c’est plutôt good ou plutôt bad ?

Les regex c’est pas trop mon dada, alors peut être qu’il y a possibilité d’optimiser, à vous de me dire :wink:

Merci d’avance, bonne année et surtout bonne santé au passage