Регистрация Войти
Рейтинг:1
avatar Server

Фильтр Fail2ban для mongodb

флаг sv
Toncy John

Версия Fail2Ban: 0.10.2

Я пробовал множество файлов конфигурации фильтров для удаленной аутентификации MongoDB, но ни один из них не работал, я решил, что проблема связана с отказоустойчивым регулярным выражением, и я не могу придумать правильное регулярное выражение.

{"$date":"2021-08-10T17:27:13.498+05:30"},"s":"I", "c":"ДОСТУП", "id":20249, "ctx":" conn187","msg":"Аутентификация не удалась","attr":{"механизм":"SCRAM-SHA-256","спекулятивный":true,"principalName":"Администратор","authenticationDatabase":"admin" ,"remote":"123.456.789.123:60054","extraInfo":{},"error":"AuthenticationFailed: Ошибка аутентификации SCRAM, несоответствие сохраненного ключа"}}

Это журнал монго, который я получаю при неудачной попытке. Я пытался использовать <HOST>, <ADDR> в регулярном выражении, но <HOST> дает 0.0.0.0, а <ADDR> дает 3:6005 (последняя цифра IP и 4 цифры порта).

Каким было бы правильное регулярное выражение для фильтрации этого журнала?

Регулярное выражение, которое я пробовал

^(.*Аутентификация не удалась.*)|(.*<АДРЕС>.*)|$
^(.*Ошибка аутентификации.*)|(.*<HOST>.*)|$
109
1 + 3
флаг sv
Toncy John
@MichaelHampton Я добавил регулярное выражение, которое использовал. С упомянутым регулярным выражением fail2ban смог обнаружить после максимальных повторных попыток, но не получил IP-адрес должным образом.
0
Ответить
mforsetti avatar
флаг tz
mforsetti
а fail2ban для mongodb? Вы должны выставить свою базу данных в общедоступный Интернет?
0
Ответить
флаг sv
Toncy John
@mforsetti база данных, которую я выкладываю в общедоступный Интернет, используется только для тестирования во время разработки, поэтому это не должно быть проблемой. Кроме того, причина установки fail2ban состоит в том, чтобы действовать как дополнительная защита, чтобы компенсировать это.
0
Ответить
Рейтинг:0
sebres avatar Server
флаг il
sebres
  1. https://github.com/fail2ban/fail2ban/issues/2932
  2. https://github.com/fail2ban/fail2ban/issues/3046

коротко:

[Определение]

datepattern = ^\{"t":\{"\$date":"%%Y-%%m-%%dT%%H:%%M:%%S\.%%f%%z"} \SS*
_groupre = (?:"(?!(?:msg|attr|client|remote)\b)\w+":(?:"[^"]+"|\w+)\s*[,\}]\ с*)
failregex = ^%(_groupre)s*"msg":"Ошибка аутентификации"\s*,\s*%(_groupre)s*"attr"\s*:\s*\{%(_groupre)s*"( ?:клиент|удаленный)":"<АДРЕС>:\d+"
0 + 2
флаг sv
Toncy John
Это работает, спасибо за решение. Что касается размещения базы данных в общедоступном Интернете, насколько это будет безопасно с надежной парольной фразой и реализованным fail2ban?
0
Ответить
sebres avatar
флаг il
sebres
Сложно сказать. Fail2ban просто уменьшит риск успеха брутфорса (например, резко уменьшит количество попыток), но, например, не защитит от некоторых уязвимостей (если таковые существуют или будут введены в будущем). Поэтому, если это возможно, лучше защитить его с помощью брандмауэра (например, сетевой фильтр, вносящий в белый список некоторые хосты/адреса, которым разрешено взаимодействовать с mongodb, или http- или стучать по портам и т. д.).
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.