web-dev-qa-db-ja.com

/etc/csf/csf.pl -rを指定するまで、LFDは常に約30日後に動作を停止します

_/etc/csf/csf.pl -r_を指定すると、多くの行がフラッシュされ、通知メールが再び届き始めます(1日に数通のメール)。例:

_Time:     Wed Sep 12 08:39:47 2012 +0800
IP:       221.13.104.162 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

Sep 12 08:39:25 MyHost sshd[9677]: Failed password for root from 221.13.104.162 port 51106 ssh2
Sep 12 08:39:28 MyHost sshd[9712]: Failed password for root from 221.13.104.162 port 51690 ssh2
Sep 12 08:39:32 MyHost sshd[9739]: Failed password for root from 221.13.104.162 port 52128 ssh2
Sep 12 08:39:36 MyHost sshd[9778]: Failed password for root from 221.13.104.162 port 52670 ssh2
Sep 12 08:39:40 MyHost sshd[9821]: Failed password for root from 221.13.104.162 port 53155 ssh2
_

そして、約30日後、メールの受信が停止し、何かがいっぱいになったようになり、再度フラッシュする必要があります。

CSF/LFDについてはよくわかりませんが、これがFIFOの方法で機能するので、有限空間内で無期限に実行できるはずです。

私の/etc/csf/version.txtには_4.83_と書かれています

私の猫/ proc/versionはLinux version 2.6.18-028stab066.8 (root@rhel5-64-build) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Fri Nov 27 20:19:25 MSK 2009と言っています

1
gus

デフォルトでは、ログイン失敗デーモン(LFD)は、IPを永続的にブロックする前に、サービスをブルートフォース攻撃しようとした場合にのみ、一時的にIPをブロックします。おそらくその時点で、一時的なブロックの通知メールは表示されなくなります。関連する設定はcsf.confにあります。 「LF_PERMBLOCK」を探します。さらに、FIFOの考え方は正しいです。CSFは、構成ディレクティブDENY_IP_LIMITおよびDENY_TEMP_IP_LIMITによって決定される最大数のIPをブロックします。その時点で、最も古い(最初の)ブロックされたIPがブロック解除されます。最新の犯罪者の好意。

CSFを再起動すると、LFDブロックリストがクリアされると思います。

構成スクリプトを読み、ログを確認して、これが発生していることを確認することをお勧めします。

出典: http://configserver.com/free/csf/readme.txt 、csf.conf in http://www.configserver.com/free/csf.tgz ==

1
Preston