Score:1

เปิดใช้งานการบันทึก PHPMYADMIN & ตัวกรองเริ่มต้น Fail2ban

ธง cn

ฉันใช้ Debian 10.5 LAMP กับ ISPConfig ซึ่งใช้ PHPMYADMIN 4.9.0.1

ฉันติดตั้ง phpmyadmin ต่อไปนี้ กวดวิชานี้ ฉันเดาได้แค่ว่า ISPConfig อาจขัดจังหวะบางอย่าง

ไม่ว่าในกรณีใด ฉันกำลังพยายามตั้งค่าตัวกรอง phpmyadmin-syslog.conf เริ่มต้นสำหรับ fail2ban เพื่อป้องกัน phpmyadmin

ปัญหา:
การบันทึก pma ไม่ทำงานตามเอกสารประกอบ

ฉันได้ลอง 3 วิธีเพื่อเปิดใช้งานการบันทึก:

ในของฉัน /usr/share/phpmyadmin/config.inc.php ฉันได้เพิ่ม:

$cfg['AuthLog'] = 'อัตโนมัติ';

ซึ่งควรส่งออกความพยายามในการเข้าสู่ระบบที่ล้มเหลว syslog หรือ php.ini ตามเอกสาร
https://docs.phpmyadmin.net/th/latest/config.html

ฉันเหนื่อย
การตั้งค่าปัจจุบัน
$cfg['AuthLog'] = 'syslog';

อย่างไรก็ตามไม่ /var/log/auth.log , ก็ไม่เช่นกัน /var/log/syslog บันทึกความพยายามในการเข้าสู่ระบบที่ล้มเหลว

ฉันยังพยายาม:
$cfg['AuthLog'] = '/var/log/phpmyadmin-auth.log';

และให้สิทธิ์ในการบันทึกแก่ผู้ใช้ www-data โดยใช้ (หมายเหตุ: ไม่แน่ใจว่าถูกต้องหรือไม่ pma เป็นผู้ใช้ควบคุม)

#chown www-data:www-data /var/log/phpmyadmin-auth.log และ
#chmod 755 /var/log/phpmyadmin-auth.log

ของฉัน /etc/fail2ban/jail.local ไฟล์ประกอบด้วย:

[phpmyadmin-auth]
เปิดใช้งาน = จริง
พอร์ต = https,https
filter = phpmyadmin-syslog
logpath = /var/log/syslog
สูงสุด = 3

และค่าเริ่มต้น /etc/fail2ban/filter.d/phpmyadmin-syslog.conf ประกอบด้วย:

# Fail2Ban fitler สำหรับ phpMyAdmin-syslog
#
[รวมถึง]
ก่อน = Common.conf

[คำนิยาม]
_daemon = phpMyAdmin
failregex = ^%(__prefix_line)suser ปฏิเสธ: (?:\S+|.*?) \(mysql-denied\) จาก <HOST>\s*$
ละเว้นregex =
# ผู้แต่ง: Pavel Mihadyuk
# การแก้ไข Regex: Serg G. Brester

(ไม่มีคำแนะนำที่เป็นประโยชน์สำหรับการเปิดใช้งานการบันทึก phpyadmin)

มีใครรู้บ้างว่าฉันพลาดอะไรไป?

jp flag
คุณอาจต้องการ `$cfg['AuthLog'] = 'syslog';`
Maestro223 avatar
cn flag
ฉันลองแล้ว... จากนั้นฉันลองเข้าสู่ระบบที่ไม่ถูกต้องบน phpmyadmin... ไม่มีสิ่งใดถูกเขียนไปยัง syslog... ดังนั้นโพสต์ของฉันที่นี่
Score:0
ธง de

ฉันใช้ Ubuntu 20.04

ฉันไม่ได้แก้ไขไฟล์คอนฟิก phpmyadmin แต่อย่างใด (ค่าเริ่มต้นจากการติดตั้ง) ใน config.inc.php ฉันมี...

$cfg['AuthLog'] = 'อัตโนมัติ';

...และข้อผิดพลาดในการตรวจสอบสิทธิ์ทั้งหมดของฉันไปที่ /var/log/auth.log ดังนั้นฉันเดาว่าคู่มือผิดในกรณีของฉัน

เมื่อใดก็ตามที่ฉันพยายามเข้าสู่ระบบด้วยรหัสผ่านเปล่า ฉันจะได้รับ:

13 ก.พ. 23:42:42 ชื่อโฮสต์ phpMyAdmin[516146]: ผู้ใช้ปฏิเสธ: sdasdas (ว่าง-ปฏิเสธ) จาก xxx.xxx.xxx.xxx

เมื่อใดก็ตามที่ฉันพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้/รหัสผ่านที่ไม่ถูกต้อง ฉันจะได้รับ:

13 ก.พ. 23:42:42 ชื่อโฮสต์ phpMyAdmin[516146]: ผู้ใช้ปฏิเสธ: sdasdas (mysql-denied) จาก xxx.xxx.xxx.xxx

แน่นอนว่าตัวกรองของฉันเหมือนกับของคุณ คุณสามารถดูได้ว่าเหตุใดตัวกรองจึงถูกต้อง และจะระบุเฉพาะกรณีที่ 2 ด้านบนเท่านั้น มันจะไม่สนใจรหัสผ่านที่ว่างเปล่า

^%(__prefix_line)suser ปฏิเสธ: (?:\S+|.*?) \(mysql-denied\) จาก <HOST>\s*$

นอกจากนี้ รายการ jail.local ของคุณยังถูกต้องอีกด้วย ของฉันคือ:

[phpmyadmin-syslog]
เปิดใช้งาน = จริง
filter = phpmyadmin-syslog
สูงสุด = 1
เวลาหา = 30d
ค่าอาหาร = 600
bantime.rndtime = 100
bantime.increment = จริง
bantime.factor = 24
bantime.maxtime = 6w

คุณจะสังเกตเห็นว่าฉันไม่ได้พูดถึงไฟล์บันทึกในคุกด้วยซ้ำ เห็นได้ชัดว่า Fail2ban รู้ว่าควรดูที่ไหน (ฉันมี logpath = /var/log/auth.log แต่ฉันลบออกและยังคงใช้งานได้) ทันทีที่ฉันใส่ข้อมูลรับรองผิดคู่ ฉันจะเห็นการตรวจพบโดย fail2ban ด้วยคำสั่งนี้:

 sudo tail -f /var/log/fail2ban.log

โปรดทราบว่าหากคุณเปลี่ยนการกำหนดค่าของ Failed2ban คุณไม่จำเป็นต้องเริ่มการทำงานของ Failed2ban ใหม่ คุณสามารถโหลดการกำหนดค่าซ้ำได้ด้วยสิ่งนี้:

บริการ sudo โหลดซ้ำ fail2ban

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา