Ubuntu 12.04 LTS에서 2.2.22-1ubuntu1.8을 사용하고 있습니다.
# cat /etc/apache2/sites-enabled/000-default
...
DocumentRoot /var/www
<Directory />
...
AuthType Basic
AuthName "Please input password"
AuthBasicProvider ldap
Order allow,deny
Allow from all
AuthLDAPURL "ldaps://ldapfooserver.com/ou=baar,o=foo.com?mail"
Require ldap-attribute [email protected]
...
</Directory>
...
가끔 누군가가 잘못된 비밀번호로 로그인을 시도하는 모습을 볼 수 있습니다. access.log에는 많은 HTTP 401 메시지가 있습니다.
질문:지난 한 시간 동안 access.log에 10개의 "HTTP 401" 오류 메시지가 있는 경우 IP 주소를 어떻게 차단합니까? 아니면 iptables를 통해 수행하는 것이 더 낫습니까(IP에 대한 초당 최대 연결 수 제한)? 아니면 둘다?
아니면 error.log를 사용하는 것이 더 낫습니까?
# grep 401\.html /var/log/apache2/error.log | wc -l
3658
#
답변1
이 fail2ban패키지는 이러한 상황을 처리하도록 설계되었습니다. 차단 기간을 제어하고 관리자에게 알림을 생성할 수 있습니다.