Я новичок в fail2ban и с трудом выясняю соображения производительности для разных конфигураций. Я подумываю о настройке. Это работает на малиновой панели pi, поэтому производительность вызывает беспокойство.соображения производительности fail2ban относительно размеров, сложности и настроек logtme журнала
Явные оптимизации, о которых я могу думать, используют эффективные регулярные выражения и только минимальное количество требуемых тюрем. Я думаю, что мои конкретные вопросы:
- Как увеличивается использование ресурсов в отношении значений времени нахождения? Я предполагаю, что очень маленькие и очень большие значения могут влиять на сервер по-разному относительно ОЗУ и процессора.
- Аналогичным образом, как размер файла журнала и количество различных файлов журналов, контролируемых fail2ban, влияют на общее использование ресурсов?
В качестве примера, эта тюрьма позволит кому-то попробовать 3,600 паролей входа в систему SSH в день, если они выяснили конфигурацию fail2ban и скорректировали время их сценария для размещения.
[ssh]
enabled = true
action = iptables-allports[name=ssh]
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
findtime = 120
Если findtime изменена на другую крайность 86400 (1 день), это только позволит 5 попыток в день, но теперь это контроль большую часть файла журнала. Как это влияет на использование ресурсов?
Другой пример, тюрьма для атак наводнения POST:
[apache-post-flood]
enabled = true
action = iptables-allports[name=apache-post-flood]
filter = apache-post-flood
logpath = /var/log/apache2/*access.log
maxretry = 10
findtime = 10
Здесь мы имеем обратное, когда счетчик findtime выполняет перезагрузку каждые 10 секунд. Он также контролирует все журналы доступа (я угадываю, опять же, я новичок в этом). Это может означать, что он контролирует access.log, other_vhosts_access.log и, возможно, https_access.log для частей https сайта. Что, если это был напряженный день, и эти файлы все по 10-20 мб каждый?
Надеюсь, это поможет объяснить, что у меня на уме. Заранее спасибо за вашу помощь.