Bei mir funktioniert Fail2Ban beim Apache-Auth auch nicht richtig. Nachdem ich die Konfigurationsdateien mit jenen von Alexander, abgeglichen habe, scheinen diese korrekt zu sein.
Die Apache Logeinträge zeigen mehrere fehlgeschlagene Authentifizierungsversuche wie folgt:
Code: Select all
[Mon Nov 06 13:39:56.637868 2023] [auth_basic:error] [pid 3175001:tid 140494544914112] [remote 171...:35924] AH01618: user rfghuu not found: /admin
[Mon Nov 06 13:39:58.441441 2023] [auth_basic:error] [pid 3175001:tid 140494452414144] [remote 171...:35924] AH01618: user rggvj not found: /admin
[Mon Nov 06 13:40:00.244168 2023] [auth_basic:error] [pid 3175001:tid 140494696277696] [remote 171...:35924] AH01618: user ggvbk not found: /admin
Ich habe versucht, die Übereinstimmung der Logdateien mit dem Fail2Ban-Filter mittels des folgenden Befehls zu testen:
Code: Select all
fail2ban-regex /home/users/web/logs/test.de/error.log /etc/fail2ban/filter.d/apache-auth.conf --print-all-missed
Dabei stellte ich fest, dass diese Einträge vom Test als "nicht identifiziert" markiert wurden, was darauf hindeutet, dass Fail2Ban diese nicht korrekt verarbeitet.
Eine Vermutung meinerseits ist, dass eventuell die Bezeichnung "remote" anstelle von "client" in den Logdateien zu dem Problem führen könnte. Bei Alexander steht dort "client". Hat jemand von Ihnen ähnliche Erfahrungen gemacht oder kann einen Tipp geben?