Moin,
da es recht ärgerlich ist wenn fail2ban nach einem Neustart seine Banned IPs vergisst, schieben meine ISPConfigs sämtliche Loginfos auf einen externen Syslog-Server, der nach periodischer Auswertung den Servern wieder eine global gültige Ban_Liste zurück liefert.
Um die /var/log/ispconfig/auth.log etwas übersichtlicher fürs syslog zu schneiden, hab ich ein primitives Skript auf die schnelle erstellt
Die Einrichtung ist simpel:
/etc/fail2ban/jail.local
/etc/fail2ban/filter.d/ispconfig-auth.conf
crontab -e
vi /root/ispcnf_auth_to_syslog.sh
chmod 550 /root/ispcnf_auth_to_syslog.sh
_____________________
ISPConfig - Mini HowTos
da es recht ärgerlich ist wenn fail2ban nach einem Neustart seine Banned IPs vergisst, schieben meine ISPConfigs sämtliche Loginfos auf einen externen Syslog-Server, der nach periodischer Auswertung den Servern wieder eine global gültige Ban_Liste zurück liefert.
Um die /var/log/ispconfig/auth.log etwas übersichtlicher fürs syslog zu schneiden, hab ich ein primitives Skript auf die schnelle erstellt
Die Einrichtung ist simpel:
/etc/fail2ban/jail.local
Code:
[ispconfig-auth]
enabled = true
filter = ispconfig-auth
action = iptables-multiport[name=ispconfig-auth, port="8080,8081,10000", protocol=tcp]
logpath = /var/log/syslog
bantime = 31536000
maxretry = 10/etc/fail2ban/filter.d/ispconfig-auth.conf
Code:
Fail2Ban configuration file
#
# Author: www.sbshosting.biz
#
# $Revision:
#
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
failregex = ^%(__prefix_line)sispconfig-auth: FAILED login for .* from <HOST>$
ignoreregex =crontab -e
Code:
# Script for transfer ispconfig/auth.log FAILED LOGIN events to syslog
* * * * * /root/ispcnf_auth_to_syslog.sh
#vi /root/ispcnf_auth_to_syslog.sh
chmod 550 /root/ispcnf_auth_to_syslog.sh
_____________________
ISPConfig - Mini HowTos
Zuletzt bearbeitet: