Originariamente inviata da
stardom
Ciao, ti confermo che stiamo viaggiando senza mod_evasive e con ConfigServer già nel mio cPanel. Infatti le cose sembrano tornate normali da un paio di settimane. Se hai qualche suggerimento sulle impostazioni di ConfigServer (ora tutto in default) fammi sapere. Grazie
Assolutamente sì, ho dei consigli....
Intanto dovrei sapere se il server su cui è installato passa tutti i check di CFS/LFD.
Se li passa tutti, ti consiglio di valutare attentamente le opzioni:
UDPFLOOD (100/s e 500 burst)
CONNLIMIT (io ho configurazioni del tipo 22;5, cioè 5 connessioni dallo stesso IP sulla porta 22)
PORTFLOOD (io ho una forma del tipo 22;tcp;7;300, cioè la porta 22 tcp massimo 7 connessioni in 300 secondi)
LF_PERMBLOCK e tutti i collegati, che servono per dare un "bonus" a chi fa il furbetto senza compromettere troppo le connessioni legittime. Questa serie di opzioni vanno a braccetto con
LF_TRIGGER, che va valutata attentamente (io ho più o meno 5 tentativi per ogni parte coperta, con blocchi da 5 minuti per servizi come http a un giorno per servizi come pop/smtp, che diventano "permanenti" dopo 3 tentativi falliti)
Ultima da vedere secondo me con attenzione è LF_DISTATTACK, che ho impostato come massimo su 5 per i vari UNIQ.
Se poi hai necessità di fare robe "custom", studia per bene /usr/local/csf/bin/regex.custom.pm che ti permette di fare un sacco di cosine divertenti con i log :-D
Io lo uso per trappare i SASL login con una robina così
codice:
if (($lgfile eq $config{CUSTOM1_LOG}) and ($line =~ /^.*\[(\S+)\].*SASL (?:LOGIN|PLAIN) authentication failed.*$/)) {
return ("CUSTOM SASL login failed from",$1,"customsasllogin","2","110,143,993,995","120","0");
}
Rispondi quotando
