Hallo,
ich habe ein bestehendes SUSE 13.1 System vor mir, das nicht upgedatet bzw. erneuert werden darf. (Das System sitzt in Intranet)
Es soll nun fail2ban installiert und aktiviert werden. Die passende SUSE 13.1 CD habe ich ebenfalls bekommen.
Ich habe fail2ban installiert, jedoch festgestellt das drt der "apache-auth" Filter nicht funktioniert, bzw. kein ban stattfindet.
Bei meinem aktuellen System (SUSE 15.4) habe ich gesehen, das dieser Filter, natürlich, anders ist.
Wie gesagt der Filter ist direkt von der CD installiert worden.
Die fail2ban mit den passenden Filtern wurden gestartet (/var/log/fail2ban)
Die Zeile im Filter "apache-auth" sieht nachfolgend aus
^%(_apache_error_client)s (AH01618: )?user .*? not found(: )?\S*(, referer: \S+)?\s*$
Die Zeile in der Apache error_log
[Thu Apr 26 07:10:51.303958 2023] [auth_basic:error] [pid 1380:tid 139792830347008] [client XX.XX.XX.246:51382] AH01618: user y<xcyxc not found: /, referer: http://X.com/
jail.conf / jail.local
[apache-auth]
enabled = true
port = http,https
logpath = %(apache_error_log)s
maxretry = 3
Wenn ich jetzt mit "tail" die /var/log/fail2ban beobachte, fail2ban läuft im debuglevel, sehe ich keine Reaktion, wenn ich auf dem Webserver mich mit falschem Namen anmelde.
Da ich schon öfter fail2ban eingesetzt habe und bisher alles schmerzfrei gelaufen ist, sitze ich aktuell estwas auf der Leitung.
Was könnte ich probieren ?
Danke
worst_case
PS: Natürlich habe ich die IP und die http hier manuell geändert
Lesezeichen