horstvogel
28.12.2019, aktualisiert um 01:04:53 Uhr
view3684
view1
0
Goto Top

Fail2ban für apache guacmole regex für die filter.d Datei

FrageSicherheitErkennung, Abwehr
Hallo, ich möchte gerne meinen guacmole mit fail2ban absichern.


Die Ausgabe in der Apache Logdatei sieht so aus. Ziel ist es die jeweilige IP zu sperren.

23:58:49.431 [https-openssl-nio-8443-exec-10] WARN  o.a.g.r.auth.AuthenticationService - Authentication attempt from [51.218.293.90, 192.168.103.1] for user "max" failed
.


und die Filter.d Guacamole.conf sieht so aus, bzw. ich habe das schon etwas probiert. die 192.1168.103.1 ist mein Pfsense, die ich vor dem Apache Tomcat als Reverse Proxy mit dem HAProxy nutze.
wie müsste die Config aussehen?


# Fail2Ban configuration file for guacamole
#
# Author: Steven Hiscocks
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
# Values: TEXT
#
#failregex = ^.*\nWARNING: Authentication attempt from <HOST> for user "[^"]*" failed\.$  
#failregex = ^.*\Authentication attempt from \[<HOST>(?:,.*)?\] for user ".*" failed\.$  
failregex = ^.*\Authentication attempt from \[<HOST>, 192.168.103.1] for user ".*" failed\.$  
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

# "maxlines" is number of log lines to buffer for multi-line regex searches  
maxlines = 2

datepattern = ^%%b %%d, %%ExY %%I:%%M:%%S %%p
              ^WARNING:()**
              {^LN-BEG}

Danke! der Horst
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 529915

Url: https://administrator.de/contentid/529915

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

1 Kommentar
Goto Top
qschulz
qschulz 27.04.2020 um 10:07:53 Uhr
Goto Top
Hallo,
bei mir hat so funktioniert: failregex = Authentication attempt from \[<HOST>, 192.168.103.1] for user "[^"]*" failed\.$
FrageSicherheitErkennung, Abwehr
Mehr von horstvogelhorstvogelPfsense Haproxy https offloading und ssl https TCPmode SSL Passthrough auf Port 443 sslhorstvogel - 4 KommentarehorstvogelPfsense HAProxy Nextcloud Talk Verbindungsabbruchhorstvogel - 2 KommentarehorstvogelUbuntu 18.04 fail2ban x-forwarded-for hinter HAProxy Opnsensehorstvogel - 5 KommentarehorstvogelPfsense MaxMind GeoIP pfblockernghorstvogel - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare