テキスト処理は、ログに頻繁に表示されるIPアドレスをフィルタリングして拒否リストに追加します。

Question

私は小さなプロジェクトを書いたTxRこのようなことをすることをいわゆるtxrban。私は長年これを運営してきました。残念ながら文書化されていません。

プログラムapache.txr、exim.txrおよびssh.txrはエントリポイントです。このプログラムは、Webサーバーログ、メールサーバーログ、およびauth.logSSHアクティビティを調べます。これらのプログラムのいずれかを複製し、apache.txr必要に応じて調整できます。

これらのプログラムは基本txrban.txrモジュールをロードし、名前を変更して編集する必要があるサンプルバージョンのみが存在しない.gitutils.txrリポジトリもロードします。config.txrconfig.txr

このstartup.shスクリプトは、起動時に3つのプロセスを開始するために使用されます。このプログラムはTXR Lispの機能を通じてdaemon独自にデーモン化され、禁止syslogおよび禁止解除イベントを報告するために使用されます。

禁止されたアドレスは持続せず、単にメモリ内のハッシュテーブルに保存されます。（パッチウェルカム）起動時に、プログラムは既存のログを読み、すべての暗黙の禁止と禁止解除を実行し（時間がかかる場合があります）、ライブモードに切り替えてログを追跡し、新しいデータに反応します。

このconfig.txrファイルにはさまざまなパラメータがあります。

*ban-duration*ポイントベースの禁止に使用されます。ログスキャンポイントは、ゼロ以外のスコアだけでなくIPアドレスも報告できます。その住所は、*ban-duration*スコアをリストのインデックスとして使用して決定された期間中に即座に禁止されます。

パラメータ*short-period*、*short-limit*および*short-ban*対応するlong対応項目は、時間ベースの禁止を決定します。期間は関心のあるアクセス期間であり、この期間内の最大訪問数に制限されます。このban値は禁止期間です。 IPアドレスのアクセスパターンが長期禁止パラメータに違反している場合、そのIPアドレスは長期禁止の対象となります。そうでない場合は、短期禁止に違反するとそれに応じて禁止されます。

デフォルトプログラムはreportログをスキャンし、IPアドレス、時間、およびポイントの3つのパラメータでこの関数を呼び出して興味深いイベントを報告します。（SSHモジュールは4番目のオプションパラメータを使用して、特定のIPアドレスからログインしようとしたユーザーIDを報告します。SSHモジュールは、複数のユーザーIDでログインに失敗したIPアドレスにペナルティを適用します。）

Answer 1