O que as prisões fail2ban padrão do apache (apache-auth, apache-overflows, apache-noscript) fazem? Procurei nos documentos, mas não há nada sobre isso. Obrigado pela ajuda!
Responder1
Conforme sugerido pelo sebix, você pode encontrar as explicações nos comentários no topo de cada script de prisão:https://github.com/fail2ban/fail2ban/tree/master/config/filter.d
Parafraseando:
apache-auth
Verifica os logs em busca de tentativas com falha (senha errada, usuário inexistente, etc.) de autenticação básica (login baseado em navegador). Muitos = proibição.
apache-overflows
Filtro Fail2Ban para bloquear solicitações da web de natureza longa ou suspeita
Isso significa que URI é muito longo (maior que o limite do servidor), solicitações/métodos inválidos, etc.
apache-noscript
Este é muito útil. Scanners de vulnerabilidade/script kiddies/hackers simples geralmente procuram scripts cheios de bugs ou ainda abertos. Este Jail bloqueia scanners que procuram scripts php/cgi/asp/exe/pl que não existem em seu servidor e, portanto, geram um erro do tipo 'arquivo não existe'. Essas pessoas são banidas desta prisão porque estão apenas procurando problemas.