Включение ведения журнала PHPMYADMIN и фильтра Fail2ban по умолчанию

Я использую Debian 10.5 LAMP с ISPConfig, работаю под управлением PHPMYADMIN 4.9.0.1.

Я установил phpmyadmin после этот учебник Я могу только догадываться, что каким-то образом ISPConfig может что-то прерывать.

В любом случае, я пытаюсь настроить фильтр phpmyadmin-syslog.conf по умолчанию для fail2ban, чтобы защитить phpmyadmin.

Проблема:
Регистрация pma, похоже, не работает в соответствии с документацией.

Я пробовал 3 способа включить ведение журнала:

в моем /usr/доля/phpmyadmin/config.inc.php я добавил:

$cfg['AuthLog'] = 'авто';

Который должен выводить неудачные попытки входа в систему системный журнал или же php согласно документам
https://docs.phpmyadmin.net/en/latest/config.html

Я пытался
текущая настройка
$cfg['AuthLog'] = 'системный журнал';

Однако ни /var/log/auth.log , ни /var/журнал/системный журнал зарегистрированы неудачные попытки входа в систему.

Я также пробовал:
$cfg['AuthLog'] = '/var/log/phpmyadmin-auth.log';

и предоставил права доступа к журналу пользователю www-data (примечание: не уверен, правильно ли это, pma - это контрольный пользователь)

#chown www-данные:www-данные /var/log/phpmyadmin-auth.log и
#chmod 755 /var/log/phpmyadmin-auth.log

Мой /etc/fail2ban/jail.local файл содержит:

[phpmyadmin-авторизация]
включено = верно
порт = https,https
фильтр = phpmyadmin-syslog
путь к журналу = /var/журнал/системный журнал
максимальная попытка = 3

и по умолчанию /etc/fail2ban/filter.d/phpmyadmin-syslog.conf содержит:

# Фитлер Fail2Ban для phpMyAdmin-syslog
#
[ВКЛЮЧАЕТ В СЕБЯ]
до = common.conf

[Определение]
_daemon = phpMyAdmin
failregex = ^%(__prefix_line)пользователю отказано: (?:\S+|.*?) \(mysql-denied\) от <HOST>\s*$
игнорироватьregex =
# Автор: Павел Михадюк
# Исправления регулярных выражений: Serg G. Brester

(нет полезного совета по включению ведения журнала phpyadmin)

Кто-нибудь знает, что мне не хватает?

Я на Ubuntu 20.04.

Я никак не модифицировал конфигурационный файл phpmyadmin (по умолчанию при установке). В моем config.inc.php у меня есть...

$cfg['AuthLog'] = 'авто';

... и все мои ошибки аутентификации попадают в /var/log/auth.log. Так что я предполагаю, что руководство неправильно в моем случае.

Всякий раз, когда я пытаюсь войти с пустым паролем, я получаю:

13 февраля, 23:42:42 имя хоста phpMyAdmin[516146]: пользователю отказано: sdasdas (пусто-отказано) от xxx.xxx.xxx.xxx

Всякий раз, когда я пытаюсь войти с неправильным именем пользователя/паролем, я получаю:

13 февраля 23:42:42 имя хоста phpMyAdmin[516146]: пользователю отказано: sdasdas (mysql-denied) от xxx.xxx.xxx.xxx

Мой фильтр, конечно же, такой же, как ваш. Теперь вы можете видеть, почему фильтр правильный и идентифицирует только второй случай выше. Он не будет заботиться о пустых паролях.

^%(__prefix_line)пользователю отказано: (?:\S+|.*?) \(mysql-denied\) из <HOST>\s*$

Также ваша запись в jail.local кажется правильной. Мой:

[phpmyadmin-системный журнал]
включено = верно
фильтр = phpmyadmin-syslog
максимальная попытка = 1
время нахождения = 30 дней
бантайм = 600
бантайм.rndtime = 100
бантайм.инкремент = истина
бантаймфактор = 24
бантайм.макстайм = 6w

Вы заметите, что я даже не упомянул лог-файл в джейле. Fail2ban явно знает, где искать (у меня было путь к журналу = /var/log/auth.log но я удалил его и все еще работает). Как только я ввожу неправильную пару учетных данных, я вижу, что она обнаружена fail2ban с помощью этой команды:

 sudo tail -f /var/log/fail2ban.log

Имейте в виду, что если вы измените конфигурацию fail2ban, вам не нужно перезапускать fail2ban. Вы можете просто перезагрузить конфигурацию следующим образом:

перезагрузка службы sudo fail2ban