Activarea înregistrării PHPMYADMIN și a filtrului implicit Fail2ban

Sunt pe Debian 10.5 LAMP cu ISPConfig, rulând PHPMYADMIN 4.9.0.1.

Am instalat phpmyadmin următorul acest tutorial Pot doar să ghicesc că cumva ISPConfig poate întrerupe ceva.

În orice caz, încerc să configurez filtrul implicit phpmyadmin-syslog.conf pentru fail2ban pentru a proteja phpmyadmin.

Problemă:
înregistrarea pma nu pare să funcționeze conform documentației.

Am încercat 3 metode pentru a activa înregistrarea:

in al meu /usr/share/phpmyadmin/config.inc.php Am adăugat:

$cfg['AuthLog'] = 'automat';

Care ar trebui să scoată încercări de conectare eșuate syslog sau php conform documentelor
https://docs.phpmyadmin.net/en/latest/config.html

am incercat
Setari curente
$cfg['AuthLog'] = 'syslog';

Cu toate acestea, nici unul /var/log/auth.log , nici /var/log/syslog a înregistrat încercări eșuate de conectare.

am incercat si eu:
$cfg['AuthLog'] = '/var/log/phpmyadmin-auth.log';

și a dat permisiuni pentru jurnalul utilizatorului www-data folosind (notă: nu sunt sigur dacă este corect, pma este controluser)

#chown www-data:www-data /var/log/phpmyadmin-auth.log și
#chmod 755 /var/log/phpmyadmin-auth.log

Ale mele /etc/fail2ban/jail.local fisierul contine:

[phpmyadmin-auth]
activat = adevărat
port = https,https
filtru = phpmyadmin-syslog
logpath = /var/log/syslog
maxretry = 3

și implicit /etc/fail2ban/filter.d/phpmyadmin-syslog.conf contine:

# Fitler Fail2Ban pentru phpMyAdmin-syslog
#
[INCLUSE]
înainte = comun.conf

[Definiție]
_daemon = phpMyAdmin
failregex = ^%(__prefix_line)utilizator refuzat: (?:\S+|.*?) \(mysql-denied\) de la <HOST>\s*$
ignoreregex =
# Autor: Pavel Mihadyuk
# Remedieri de regex: Serg G. Brester

(nici un sfat util pentru a activa înregistrarea phpyadmin)

Știe cineva ce îmi lipsește?

Sunt pe Ubuntu 20.04.

Nu am modificat în niciun fel fișierul de configurare phpmyadmin (implicit de la instalare). În config.inc.php meu am...

$cfg['AuthLog'] = 'automat';

...și toate erorile mele de autentificare intră în /var/log/auth.log. Deci, presupun că manualul este greșit în cazul meu.

Ori de câte ori încerc să mă autent cu o parolă goală, primesc:

13 februarie 23:42:42 nume de gazdă phpMyAdmin[516146]: utilizator refuzat: sdasdas (gol refuzat) de la xxx.xxx.xxx.xxx

Ori de câte ori încerc să mă autent cu un nume de utilizator/parolă greșit, primesc:

13 februarie 23:42:42 nume de gazdă phpMyAdmin[516146]: utilizator refuzat: sdasdas (mysql-denied) de la xxx.xxx.xxx.xxx

Filtrul meu este, desigur, același cu al tău. Puteți vedea acum de ce filtrul este corect și va identifica doar al doilea caz de mai sus. Nu îi va păsa de parolele goale.

^%(__prefix_line)utilizator refuzat: (?:\S+|.*?) \(mysql-denied\) de la <HOST>\s*$

De asemenea, intrarea dvs. jail.local pare corectă. Al meu este:

[phpmyadmin-syslog]
activat = adevărat
filtru = phpmyadmin-syslog
maxretry = 1
timp de găsire = 30d
bantime = 600
bantime.rndtime = 100
bantime.increment = adevărat
bantime.factor = 24
bantime.maxtime = 6w

Veți observa că nici măcar nu am menționat un fișier jurnal în închisoare. Fail2ban știe, evident, unde să caute (am avut logpath = /var/log/auth.log dar l-am scos și încă funcționează). De îndată ce introduc o pereche greșită de acreditări, o pot vedea detectată de fail2ban cu această comandă:

 sudo tail -f /var/log/fail2ban.log

Rețineți că, dacă modificați configurația fail2ban, nu trebuie să reporniți fail2ban. Puteți reîncărca configurația cu asta:

sudo service fail2ban reload