Enviado em 14/02/2020 - 22:06h
Prezados Colegas,
Estou com uma dificuldade para fazer o Fail2Ban funcionar no phpmyadmin.
Estou utilizando CentOS 8.1.1911 e o fail2ban 0.10.5-2.
O meu PhpMyAdmin está versão 4.9.0.1.
Percebi que o PhpMyAdmin loga as falhas de login no arquivo “/var/log/secure”.
E ele tem uma saída assim:
Feb 14 21:40:37 www phpMyAdmin[3982]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:42:07 www phpMyAdmin[3978]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:42:09 www phpMyAdmin[3982]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:48:06 www phpMyAdmin[3981]: user denied: root (mysql-denied) from 177.122.254.10
Então, configurei meu “/etc/fail2ban/jail.conf” dessa maneira:
[phpmyadmin]
enabled = true
port = http,https
filter = phpmyadmin
action = iptables-multiport[name=phpmyadmin, port="http,https", protocol=tcp]
sendmail-whois[name=PHPMYADMIN, dest=suporte@syspack.net.br]
logpath = /var/log/secure
maxretry = 3
E o arquivo de configuração do filtro (/etc/fail2ban/filter.d/phpmyadmin.conf), as expressões etão assim:
[Definition]
denied = mysql-denied|allow-denied|root-denied|empty-denied
failregex = ^<HOST> -.*(?:%(denied)s)$
ignoreregex =
Eu acredito que não esteja sabendo formar corretamente a expressão, pois o Fail2Ban não está bloqueando de maneira nenhuma.
Será que alguém poderia me ajudar nessa questão?
Ficarei muito grato.
Estou com uma dificuldade para fazer o Fail2Ban funcionar no phpmyadmin.
Estou utilizando CentOS 8.1.1911 e o fail2ban 0.10.5-2.
O meu PhpMyAdmin está versão 4.9.0.1.
Percebi que o PhpMyAdmin loga as falhas de login no arquivo “/var/log/secure”.
E ele tem uma saída assim:
Feb 14 21:40:37 www phpMyAdmin[3982]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:42:07 www phpMyAdmin[3978]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:42:09 www phpMyAdmin[3982]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:48:06 www phpMyAdmin[3981]: user denied: root (mysql-denied) from 177.122.254.10
Então, configurei meu “/etc/fail2ban/jail.conf” dessa maneira:
[phpmyadmin]
enabled = true
port = http,https
filter = phpmyadmin
action = iptables-multiport[name=phpmyadmin, port="http,https", protocol=tcp]
sendmail-whois[name=PHPMYADMIN, dest=suporte@syspack.net.br]
logpath = /var/log/secure
maxretry = 3
E o arquivo de configuração do filtro (/etc/fail2ban/filter.d/phpmyadmin.conf), as expressões etão assim:
[Definition]
denied = mysql-denied|allow-denied|root-denied|empty-denied
failregex = ^<HOST> -.*(?:%(denied)s)$
ignoreregex =
Eu acredito que não esteja sabendo formar corretamente a expressão, pois o Fail2Ban não está bloqueando de maneira nenhuma.
Será que alguém poderia me ajudar nessa questão?
Ficarei muito grato.