Eu executei o script abaixo em uma nova Ubuntu 14.04.5 x64
caixa. Funciona até o ponto em que o apache bloqueia meu endereço IP para muitas solicitações, conforme o esperado. No entanto, meu endereço IP não é adicionado ao iptables
. Acabei de receber um padrão 403, mas gostaria que os pacotes fossem descartados sem erros.
Eu acho que o problema é uma permissão em que apache
não é possível executar arquivos ip-tables
. Mas não consigo descobrir, pois dei ao apache
usuário www-data
a capacidade de executar iptables
o sudoers
arquivo.
Qualquer ajuda apreciada, eu estive brincando com isso o dia todo!
#!/bin/sh
apt-get update
apt-get -y install apache2
# Install mod evasive
apt-get -y install libapache2-mod-evasive
# Enable it
a2enmod evasive
a2enconf evasive
# Create log directory
mkdir /var/log/mod_evasive
chown -R www-data:www-data /var/log/mod_evasive
# Config for mod evasive
cat <<'EOF' > /etc/apache2/mods-available/evasive.conf
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
# Allow 5 requests for the same resource request per second. Per-IP
DOSPageCount 5
DOSPageInterval 1
# Allow up to 50 requests across the domain per second. Per-IP
DOSSiteCount 50
DOSSiteInterval 1
# Block user by IP for 60 minutes
DOSBlockingPeriod 60
DOSSystemCommand "sudo /usr/local/bin/ban_ip.sh %s"
DOSLogDir /var/log/mod_evasive
DOSWhitelist 188.88.90.71
DOSWhitelist 188.88.90.72
DOSWhitelist 188.88.90.73
</IfModule>
EOF
# Config for banning users
cat <<'EOF' > /usr/local/bin/ban_ip.sh
#!/bin/sh
# Offending IP as detected by mod_evasive
IP=$1
# Path to iptables binary executed by user www-data through sudo
IPTABLES="/sbin/iptables"
# mod_evasive lock directory
MOD_EVASIVE_LOGDIR=/var/log/mod_evasive
# Add the following firewall rule (block IP)
sudo $IPTABLES -I INPUT -s $IP -j DROP
# Unblock offending IP after 2 hours through the 'at' command; see 'man at' for further details
echo "sudo $IPTABLES -D INPUT -s $IP -j DROP" | sudo at now + 1 minute
# Remove lock file for future checks
sudo rm -f "$MOD_EVASIVE_LOGDIR"/dos-"$IP"
EOF
echo 'www-data ALL=NOPASSWD: /sbin/iptables *, /usr/bin/at *' | EDITOR='tee -a' visudo
Eu nunca usei mod-evasive, mas depois de examinar seu script, parece que você esqueceu de tornar seu
/usr/local/bin/ban_ip.sh
executável - se eu entendi sua configuração corretamente.Além disso, não vejo nenhuma razão para um sudo extra em seu comando iptables, porque no evasive.conf todo o
usr/local/bin/ban_ip.sh
script está configurado para ser iniciado pelo sudo. Se for executado, será executado com privilégio de root.Você pode adicionar alguma declaração como:
logo após #!/bin/sh apenas para ver se seu script é executado.