Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
-
Huck Fin
- Beiträge: 1210
- Registriert: 10.03.2008 17:10:30
Beitrag
von Huck Fin » 13.11.2015 10:02:25
Hi,
ich bekomme die Regel nicht hin.
/etc/fail2ban/filter.d/owncloud.conf
Code: Alles auswählen
[Definition]
failregex = .*ownCloud.*Login failed:.*, IP:(?P<host>S*)
ignoreregex =
/var/log/syslog
Code: Alles auswählen
Nov 13 09:18:02 catweazle ownCloud[9642]: {core} Login failed: 'uwe' (Remote IP: '192.168.24.42')
fail2ban-regex /var/log/syslog /etc/fail2ban/filter.d/owncloud.conf
Code: Alles auswählen
Running tests
=============
Use regex file : /etc/fail2ban/filter.d/owncloud.conf
Use log file : /var/log/syslog
Results
=======
Failregex
|- Regular expressions:
| [1] .*ownCloud.*, Login failed:.*, IP:(?P<host>S*)
|
`- Number of matches:
[1] 0 match(es)
Ignoreregex
|- Regular expressions:
|
`- Number of matches:
Summary
=======
Sorry, no match
Look at the above section 'Running tests' which could contain important
information.
Er findet 0 Matches.
Zuletzt geändert von
Huck Fin am 13.11.2015 21:15:57, insgesamt 1-mal geändert.
-
rendegast
- Beiträge: 15041
- Registriert: 27.02.2006 16:50:33
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von rendegast » 13.11.2015 16:51:32
In Deinem regex ist ein Komma, das in der Meldung nicht vorkommt.
"IP:(" da eventuell noch ein Leerzeichen?
Die Hochkommata um die Host-IP müssen eventuell quoted berücktischtigt werden.
Das Konstrukt "(?P<host>S*)" ?
"<host>"? In den fail2ban beiligenden Filtern wird immer "<HOST>" verwendet.
Zuletzt geändert von
rendegast am 13.11.2015 17:01:26, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
Huck Fin
- Beiträge: 1210
- Registriert: 10.03.2008 17:10:30
Beitrag
von Huck Fin » 13.11.2015 16:58:17
Wenn ich es raus mache kommt ne Fehlermeldung
unknown Host
fail2ban-regex /var/log/syslog /etc/fail2ban/filter.d/owncloud.conf
Code: Alles auswählen
Running tests
=============
Use regex file : /etc/fail2ban/filter.d/owncloud.conf
Use log file : /var/log/syslog
[Errno 1] Unknown host
-
rendegast
- Beiträge: 15041
- Registriert: 27.02.2006 16:50:33
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von rendegast » 13.11.2015 17:04:16
| [1] .*ownCloud.*, Login failed:.*, IP:(?P<host>S*)
Hier sind sogar zwei Kommata.
Mal sowas?
Code: Alles auswählen
failregex = .*ownCloud.*Login failed:.* IP: \'<HOSTt>\'\)
funktioniert hier mit Deiner Log-Zeile:
Code: Alles auswählen
$ fail2ban-regex ./log ./reg
Running tests
=============
Use failregex file : ./reg
Use log file : ./log
Results
=======
Failregex: 7 total
|- #) [# of hits] regular expression
| 1) [7] .*ownCloud.*Login failed:.* IP: \'<HOST>\'\)
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [7] MONTH Day Hour:Minute:Second
`-
Lines: 7 lines, 0 ignored, 7 matched, 0 missed
Zuletzt geändert von
rendegast am 13.11.2015 17:12:10, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
Huck Fin
- Beiträge: 1210
- Registriert: 10.03.2008 17:10:30
Beitrag
von Huck Fin » 13.11.2015 17:11:23
wenn ich
Code: Alles auswählen
failregex = .*ownCloud.*Login failed:.* IP: \'<host>\'\)
dann erscheint das hier gefühlte 1000 mal
Code: Alles auswählen
No 'host' group in '.*ownCloud.*Login failed:.* IP: \'<host>\'\)'
Cannot remove regular expression. Index 0 is not valid
und zum Schluss dass hier
Code: Alles auswählen
Results
=======
Failregex
|- Regular expressions:
| [1] .*ownCloud.*Login failed:.* IP: \'<host>\'\)
|
`- Number of matches:
[1] 0 match(es)
Ignoreregex
|- Regular expressions:
|
`- Number of matches:
Summary
=======
Sorry, no match
Look at the above section 'Running tests' which could contain important
information.
-
rendegast
- Beiträge: 15041
- Registriert: 27.02.2006 16:50:33
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von rendegast » 13.11.2015 17:13:44
Das <host> muß zu <HOST>.
Du machst zu schnell c+p, bevor ich mit den Korrekturen fertig bin
.
Die entsprechende Fehlermeldung hier:
Code: Alles auswählen
$ fail2ban-regex ./log ./reg
Running tests
=============
Use failregex file : ./reg
Traceback (most recent call last):
File "/usr/bin/fail2ban-regex", line 430, in <module>
fail2banRegex.readRegex(cmd_regex, 'fail') or sys.exit(-1)
File "/usr/bin/fail2ban-regex", line 227, in readRegex
'add%sRegex' % regextype.title())(regex.getFailRegex())
File "/usr/share/fail2ban/server/filter.py", line 95, in addFailRegex
raise e
server.failregex.RegexException: No 'host' group in '.*ownCloud.*Login failed:.* IP: \'<host>\'\)'
Zuletzt geändert von
rendegast am 13.11.2015 17:16:43, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
Huck Fin
- Beiträge: 1210
- Registriert: 10.03.2008 17:10:30
Beitrag
von Huck Fin » 13.11.2015 17:16:41
rendegast hat geschrieben:Das <host> muß zu <HOST>.
Du machst zu schnell c+p, bevor ich mit den Korrekturen fertig bin
.
Läuft.
Danke
Jetzt muss ich nur noch eine Regel erstellen...
-
Huck Fin
- Beiträge: 1210
- Registriert: 10.03.2008 17:10:30
Beitrag
von Huck Fin » 13.11.2015 20:40:16
Jetzt dachte ich, ich kann das ummünzen für diese Zeile aus der Syslog, aber klappt nicht.
Code: Alles auswählen
#Nov 13 19:40:28 catweazle HORDE: [horde] FAILED LOGIN for uwe to horde (192.168.24.42) [pid 22622 on line 199 of "/var/www/horde/login.php"]
Nachtrag
Hab es hin bekommen...
