fail2ban的Regexp(用于xrdp.log)

kqqjbcuj 于 2023-04-13 发布在其他

关注(0)|答案(1)|浏览(143)

为了配置xrdp攻击的fail2ban，我需要一些regexp的帮助。
在/var/log/xrdp.log中，我可以看到：
[20201229-12:24:42] [INFO ] Socket 12: AF_INET6 connection received from ::ffff:82.74.118.114 port 55267
所以在jail.conf中我加上：

[rdp]
enabled = true
filter = rdp
action = iptables-multiport[name=rdp, port="3389,3390,3391", protocol=tcp]
logpath = /var/log/xrdp.log
maxretry = 5

对于filter.d/rdp.conf，我写道：

[Definition]
failregex = connection received from ::ffff:<HOST> port
ignoreregex =

显然我的正则表达式不好...
有人能帮帮我吗？谢谢。

regex

来源：https://stackoverflow.com/questions/65491510/regexp-for-fail2ban-for-xrdp-log

1条答案

按热度按时间

xmakbtuz1#

你的failregex是多余的，因为<HOST>是模式(?:::f{4,6}:)?(?P<host>\S+)的别名，其中包括::ffff:部分。此外，fail2ban的默认日期模板不支持日志中的日期格式，所以你必须设置一个自定义日期模式。

[Definition]
failregex = connection received from <HOST>
ignoreregex =
datepattern = %%Y%%m%%d-%%H:%%M:%%S

根据经验，您应该始终使用fail2ban-regex工具测试日期模式和正则表达式。

赞(0）回复(0）举报 2023-04-13

我来回答

fail2ban的Regexp(用于xrdp.log)

1条答案

相关问题

热门标签

最新问答