के बारे में fail2ban प्रदर्शन विचार, मैं fail2ban के लिए नया हूं और विभिन्न कॉन्फ़िगरेशन के लिए प्रदर्शन विचारों को समझने में कठिनाई कर रहा हूं, मैं स्थापित करने के बारे में सोच रहा हूं। यह रास्पबेरी पीआई बोर्ड पर चल रहा है, इसलिए प्रदर्शन एक चिंता है।लॉग आकार, जटिलता, और finditme सेटिंग्स
स्पष्ट अनुकूलन मैं सोच सकता हूं कि कुशल नियमित अभिव्यक्तियों का उपयोग कर रहे हैं और केवल न्यूनतम जेलों की आवश्यकता है। मुझे लगता है कि मेरे विशिष्ट प्रश्न हैं:
- खोज समय के संबंध में संसाधन उपयोग कैसे बढ़ता है? मैं बहुत छोटा अनुमान लगा रहा हूं और बहुत बड़े मूल्य दोनों राम बनाम सीपीयू के संबंध में सर्वर को विभिन्न तरीकों से प्रभावित कर सकते हैं।
- इसी तरह, लॉग फ़ाइल का आकार और विफल 2ban द्वारा निगरानी की गई विभिन्न लॉग फ़ाइलों की संख्या समग्र संसाधन उपयोग को कैसे प्रभावित करती है?
उदाहरण के तौर पर, यह जेल किसी को एक दिन में 3,600 एसएसएच लॉगिन पासवर्ड आज़माएगा यदि उन्होंने fail2ban कॉन्फ़िगरेशन को समझ लिया और समायोजित करने के लिए अपनी स्क्रिप्ट समय समायोजित की।
[ssh]
enabled = true
action = iptables-allports[name=ssh]
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
findtime = 120
अगर हम 86400 (1 दिन) का एक अलग चरम पर findtime बदल गया है, यह केवल 5 प्रयास एक दिन की अनुमति होगी, लेकिन अब यह लॉग फ़ाइल के एक बड़े हिस्से की निगरानी कर रहा है। यह संसाधन उपयोग को कैसे प्रभावित करता है?
एक और उदाहरण, पोस्ट बाढ़ हमलों के लिए एक जेल:
[apache-post-flood]
enabled = true
action = iptables-allports[name=apache-post-flood]
filter = apache-post-flood
logpath = /var/log/apache2/*access.log
maxretry = 10
findtime = 10
यहाँ, हम विपरीत है, जहां findtime काउंटर हर 10 सेकंड को रीसेट कर रहा है। यह सभी * एक्सेस लॉग की निगरानी भी कर रहा है (मैं अनुमान लगा रहा हूं, फिर से, मैं इसके लिए नया हूं)। इसका मतलब यह हो सकता है कि यह access.log, other_vhosts_access.log, और शायद साइट के https भागों के लिए https_access.log की निगरानी कर रहा है। क्या होगा यदि यह एक व्यस्त दिन रहा है और ये फ़ाइलें सभी 10-20 एमबी हैं?
उम्मीद है कि यह मेरे दिमाग में क्या है इसकी व्याख्या करने में मदद करता है। आपकी सहायता के लिये पहले से ही धन्यवाद।