Fórum Root.cz
Hlavní témata => Server => Téma založeno: filbarcz 22. 04. 2025, 08:37:15
-
Zkouším si napsat pro proftpd pravidlo:
failregex = proftpd\[\d+\]: session\[\d+\] \d+\.\d+\.\d+\.\d+ \(\d+\.\d+\.\d+\.\d+\[(?P<host>\d+\.\d+\.\d+\.\d+)\]\): USER root
ignoreregex =
ale končí mi to chybou:
fail2ban-regex "Apr 22 07:32:32 webhosting21.cz proftpd[1552656]: session[1552656] 0.0.0.0 (218.92.0.184[218.92.0.184]): USER root (Login failed): No such user found" /etc/fail2ban/filter.d/proftpd-root.conf
Running tests
=============
Use filter file : proftpd-root, basedir: /etc/fail2ban
ERROR: No failure-id group in 'proftpd\[\d+\]: session\[\d+\] \d+\.\d+\.\d+\.\d+ \(\d+\.\d+\.\d+\.\d+\[(?P<host>\d+\.\d+\.\d+\.\d+)\]\): USER root'
Co dělám špatně? - ChatGTP jsem zkoušel, ale bez úspěchu.
-
Ukaž log.
-
Apr 22 12:22:28 webhosting21.cz proftpd[1603201]: session[1603201] 0.0.0.0 (218.92.0.184[218.92.0.184]): USER root (Login failed): No such user found
Apr 22 12:22:29 webhosting21.cz proftpd[1603201]: session[1603201] 0.0.0.0 (218.92.0.184[218.92.0.184]): USER root (Login failed): No such user found
Apr 22 12:22:29 webhosting21.cz proftpd[1603201]: session[1603201] 0.0.0.0 (218.92.0.184[218.92.0.184]): USER root (Login failed): No such user found
-
Neblokuje proftpd prihlásenia z účtu root (prípadne z akéhokoľvek účtu s UID=0)? Podľa dokumentácie na http://www.proftpd.org/docs/modules/mod_auth.html#RootLogin (http://www.proftpd.org/docs/modules/mod_auth.html#RootLogin) sa tak deje, a na tomto by som nič nemenil.
-
A já bych takové uživatele chtěl ještě zablokvat přes fail2ban ;)
-
Nema byt
<host> uppercase ? Tzn <HOST>
-
Máš nějaký divný formát logu, protože namísto 0.0.0.0 by měl být hostname. V tom to případě standardní filter funguje.
Příklad logu:
Jul 14 04:44:47 opala proftpd[30817] opala.xxxxxx.edu.br (sieapp.ufpel.edu.br[200.17.161.73]): USER guest: no such user found from sieapp.ufpel.edu.br [200.17.161.73]
Filter:
^USER <F-USER>\[<HOST>\]|.</F-USER>(?: \(Login failed\))?: %(__suffix_failed_login)s