4 069
contributi
Fail2ban: differenze tra le versioni
→Sbloccare IP bloccati
| Riga 197: | Riga 197: | ||
# /etc/init.d/fail2ban restart | # /etc/init.d/fail2ban restart | ||
</pre> | </pre> | ||
== Analisi dei file di log == | |||
Per verificare se il nostro host è sottoposto ad attacchi sulle password, ad esempio sulla porta di ssh, possiamo usare questo comodo comando: | |||
<pre> | |||
# cat /var/log/auth.log* | grep 'Authentication failure' | grep sshd | awk '{print $1,$2}' | | |||
sort | uniq -c | |||
2 Mar 6 | |||
21 Mar 8 | |||
</pre> | |||
Se si vuole invece tenere sottocontrollo il sistema di banning si possono usare un paio di comandi che opportunamente redirezionati possono generarci una mail: | |||
<pre> | |||
# grep "Ban " /var/log/fail2ban.log | awk -F[\ \:] '{print $10,"("$7")"}' | sort | uniq -c | sort | |||
10 Set (INFO) | |||
5 192.168.0.10 (WARNING) | |||
</pre> | |||
Questo comando elenca IP attaccante e numero di tentativi falliti. | |||
== Sbloccare IP bloccati == | == Sbloccare IP bloccati == | ||