Ubuntu 12.04 LTSで2.2.22-1ubuntu1.8を使用しています。
# cat /etc/apache2/sites-enabled/000-default
...
DocumentRoot /var/www
<Directory />
...
AuthType Basic
AuthName "Please input password"
AuthBasicProvider ldap
Order allow,deny
Allow from all
AuthLDAPURL "ldaps://ldapfooserver.com/ou=baar,o=foo.com?mail"
Require ldap-attribute [email protected]
...
</Directory>
...
時々、誰かが間違ったパスワードでログインしようとしているのを見ることができます。 access.logには多くのHTTP 401メッセージがあります。
質問:過去1時間にaccess.logに10個の「HTTP 401」エラーメッセージがある場合、IPアドレスをどのようにブロックしますか?それとも、iptablesを使用する方が良いですか(IPへの1秒あたりの最大接続数の制限)。それとも両方?
それともerror.logを使用する方が良いですか?
# grep 401\.html /var/log/apache2/error.log | wc -l
3658
#
ベストアンサー1
このfail2banパッケージは、このような状況を処理するように設計されています。ブロック期間を制御し、管理者に通知を生成できます。