Fail2ban avec 2 chemins de log

Support Debian
#1

Bonjour,

Je possède 2 fichiers de log différents pour apache access et error, celui par defaut pour la racine et celui pour un vhost :

/var/log/apache2/error.log /var/log/apache2/monsite/error.log

Je viens de configurer fail2ban comme ci-dessous, mais je crois qu’il ne prend en compte que le dernier :

[apache-bruteforce] enabled = true filter = apache-bruteforce action = iptables[name=Apache-bruteforce,port=80,protocol=tcp] logpath = /var/log/apache2/error*.log logpath = /var/log/apache2/monsite/error*.log maxretry = 2

Avez-vous une astuce, ou dois-je répéter les 4 lignes à chaque fois avec le chemin différent ?

merci d’avance
nicolas

#2

Salut,

Essayes cette syntaxe (respectes l’espace blanc) et relances le service.

[apache-bruteforce] enabled = true filter = apache-bruteforce action = iptables[name=Apache-bruteforce,port=80,protocol=tcp] logpath = /var/log/apache2/error*.log /var/log/apache2/monsite/error*.log maxretry = 2

PS : tu devrais également t’intéressais à ces options.

[mono]bantime = xxxxx
findtime = xxxxx[/mono]

[quote][mono]Options par défauts.[/mono]

“bantime” is the number of seconds that a host is banned.

bantime = 600

A host is banned if it has generated “maxretry” during the last “findtime”

seconds.

findtime = 600

“maxretry” is the number of failures before a host get banned.

maxretry = 3
[/quote]

Sans oublié de tester ta regex avant la mise en service. [mono]fail2ban-regex[/mono]

#3

Bonjour,

Merci beaucoup BelZéButh, ça n’a pas fonctionné avec la syntaxe donnée.
J’ai des erreurs au reload.

Je vais faire plus simple, étant donné que cela ne concerne qu’un site pour le moment, je vais changer le chemin de mes logs dans le virtualhost afin de ne mettre qu’une étoile. ErrorLog ${APACHE_LOG_DIR}/error-monsite.log

merci pour les autres options.
Nicolas

#4

As tu testé ta [mono]regex[/mono] ?

[code]# fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/apache-brute-force.conf

fail2ban-regex /var/log/apache2/monsite/error.log /etc/fail2ban/filter.d/apache-brute-force.conf[/code]

As tu le filtre adéquate ?

[mono]/etc/fail2ban/filter.d/apache-brute-force.conf[/mono] ?

#5

Merci, non effectivement je n’avais pas modifié cela.

J’ai changé le virtualhost, comme ça pour tous les domaines que j’ajouterai je n’aurai pas à modifier la configuration de fail2ban grâce à l’étoile *error.log ou *access.log.

Par contre toute à l’heure je voulais ajouter l’erreur 403 , j’avais une erreur, il ne comprenait pas le failregex,
je réessayerai pour coller l’erreur

[code] # Option: failregex
failregex = ^ - ."GET ." 403 .*

# Option:  ignoreregex
ignoreregex =[/code]

Merci