2014-10-26 2 views
7

Я новичок в fail2ban и с трудом выясняю соображения производительности для разных конфигураций. Я подумываю о настройке. Это работает на малиновой панели pi, поэтому производительность вызывает беспокойство.соображения производительности fail2ban относительно размеров, сложности и настроек logtme журнала

Явные оптимизации, о которых я могу думать, используют эффективные регулярные выражения и только минимальное количество требуемых тюрем. Я думаю, что мои конкретные вопросы:

  1. Как увеличивается использование ресурсов в отношении значений времени нахождения? Я предполагаю, что очень маленькие и очень большие значения могут влиять на сервер по-разному относительно ОЗУ и процессора.
  2. Аналогичным образом, как размер файла журнала и количество различных файлов журналов, контролируемых fail2ban, влияют на общее использование ресурсов?

В качестве примера, эта тюрьма позволит кому-то попробовать 3,600 паролей входа в систему SSH в день, если они выяснили конфигурацию fail2ban и скорректировали время их сценария для размещения.

[ssh] 
enabled = true 
action = iptables-allports[name=ssh] 
filter = sshd 
logpath = /var/log/auth.log 
maxretry = 6 
findtime = 120 

Если findtime изменена на другую крайность 86400 (1 день), это только позволит 5 попыток в день, но теперь это контроль большую часть файла журнала. Как это влияет на использование ресурсов?

Другой пример, тюрьма для атак наводнения POST:

[apache-post-flood] 
enabled = true 
action = iptables-allports[name=apache-post-flood] 
filter = apache-post-flood 
logpath = /var/log/apache2/*access.log 
maxretry = 10 
findtime = 10 

Здесь мы имеем обратное, когда счетчик findtime выполняет перезагрузку каждые 10 секунд. Он также контролирует все журналы доступа (я угадываю, опять же, я новичок в этом). Это может означать, что он контролирует access.log, other_vhosts_access.log и, возможно, https_access.log для частей https сайта. Что, если это был напряженный день, и эти файлы все по 10-20 мб каждый?

Надеюсь, это поможет объяснить, что у меня на уме. Заранее спасибо за вашу помощь.

ответ

0

Существует только один способ узнать это, проверить его, ничего другого.

Добавить мониторинг использования памяти, если это необходимо, но нет формулы, которая расскажет вам о количестве CPU, IO или памяти, которые вам понадобятся.

Как правило, при перенастройке системы добавьте комментарий к новому значению и дате, когда вам нужно его перенастроить. Это позволит вам увидеть, есть ли какая-либо тенденция.

Мое личное желание - увеличить пострадавший ресурс с 30-50% каждый раз. Если вы используете меньше этого, вы рискуете делать это слишком часто.