Wiki - Contributions de l’utilisateur [fr]

Ampache

2014-06-13T10:04:08Z

Varnish

2013-05-16T12:48:42Z

SLiX : A protégé « Varnish » ([edit=sysop] (infini) [move=sysop] (infini)) [protection en cascade]

{| align="right"
| __TOC__
|}
[https://www.varnish-cache.org/ Varnish] est un cache HTTP. Il permet d'améliorer les performances de sites Web dynamiques en gardant en mémoire (ou sur un stockage persistent) des versions statiques d'objets générés (PHP, HTML, CSS, JS, images, ...).

== Varnishd ==

La configuration des règles de Varnish se fait grâce à un langage appelé VCL, dont voici quelques exemples d'utilisations.

=== Nettoyage de l'en-tête Host ===
<pre>
sub vcl_recv {
# Suppression des points finaux (.) et ports superflus (ex: kerlinux.org.:80 -> kerlinux.org)
set req.http.host = regsub(req.http.host, "\.*(:\d+)*$", "");
}
</pre>

=== Gérer l'en-tête X-Forwarded-For ===
<pre>
sub vcl_recv {
if (req.restarts == 0) {
if (req.http.x-forwarded-for) {
set req.http.X-Forwarded-For = req.http.X-Forwarded-For + ", " + client.ip;
} else {
set req.http.X-Forwarded-For = client.ip;
}
}
}
</pre>

=== Normaliser l'en-tête Accept-Encoding ===
<pre>
sub vcl_rec {
if (req.http.Accept-Encoding) {
if (req.url ~ "\.(pdf|jpeg|jpg|png|gif|gz|tgz|bz2|tbz|mp3|ogg)$") {
remove req.http.Accept-Encoding;
} elsif (req.http.User-Agent ~ "MSIE 6") {
unset req.http.Accept-Encoding;
} elsif (req.http.Accept-Encoding ~ "gzip") {
set req.http.Accept-Encoding = "gzip";
} elsif (req.http.Accept-Encoding ~ "deflate") {
set req.http.Accept-Encoding = "deflate";
} elsif (req.http.Accept-Encoding ~ "sdch") {
set req.http.Accept-Encoding = "sdch";
} else {
remove req.http.Accept-Encoding;
}
}
}
</pre>

=== Supprimer certains cookies entrants ===
<pre>
sub vcl_recv {
if (req.http.Cookie) {
# Suppression des cookies "__utm?" de suivi des utilisateurs (Google Analytics)
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *__utm.=[^;]*;? *", "\1");

# Suppression du cookie nommé exactement "MYCOOKIE"
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *MYCOOKIE=[^;]*;? *", "\1");

# Nettoyage de début et fin de valeur de Cookie
set req.http.Cookie = regsuball(req.http.Cookie, "^[; ]+|[; ]+$", "");

# Si finalement, il n'y a plus de cookie, suppression de l'en-tête
if (req.http.Cookie ~ "^\s*$") {
remove req.http.Cookie;
}
}
}
</pre>

=== Activer la gestion des ESI ===
<pre>
sub vcl_recv {
set req.http.Surrogate-Capability = "abc=ESI/1.0";
}

sub sub_fetch {
if (beresp.http.Surrogate-Control ~ "ESI/1.0") {
unset beresp.http.Surrogate-Control;
set beresp.do_esi = true;
}
}
</pre>

=== Gérer la méthode PURGE ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
return(lookup);
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
</pre>

=== Gérer les méthodes PURGE et BAN ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE" || req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
if (req.request == "PURGE") {
return (lookup);

} elsif (req.request == "BAN") {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
error 200 "Ban added";
}
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
</pre>

=== Gérer la méthode BAN avec en-tête pour Regexp ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}

if (req.http.x-ban-regexp) {
ban ("req.http.host == " + req.http.host + " && req.url ~ " + req.http.x-ban-regexp);
unset req.http.x-ban-regexp;

} else {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
}

error 200 "Ban added";
}
}
</pre>

Utilisation:
<pre>
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
$ curl -X BAN -H "Host: site-ou-bannir" -H "X-Ban-Regexp: ^/regexp_a_bannir.*" http://varnish-server
</pre>

=== Créer une URL de test ===
Pour pouvoir tester facilement que Varnish est disponible, il est possible de créer une page d'erreur spéciale:
<pre>
sub vcl_recv {
if (req.url == "/varnish-status") {
error 200 "Varnish UP";
}
}
</pre>

== Varnishncsa ==

=== Séparer les logs par site avec vlogger ===

Voici une méthode permettant de générer un fichier de logs par site à partir d'un seul démon ''varnishncsa'' grâce à ''vlogger'':

* Installer vlogger (exemple Debian et compagnie):
# apt-get install vlogger

* Modifier le format de log afin d'avoir le contenu de l'en-tête ''Host'' en début de ligne:

Dans '''/etc/init.d/varnishncsa''':
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} \
devient
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} -F "${LOG_FORMAT}" \

Dans '''/etc/default/varnishncsa''', ajouter:
LOG_FORMAT="%{Host}i %h %l %u %t \"%m %U%q %H\" %s %b \"%{Referer}i\" \"%{User-agent}i\""

Puis redémarrer le service ''varnishncsa'':
# service varnishncsa restart

* Créer un script '''/usr/local/sbin/varnishncsa_vlogger.sh''':

# vi /usr/local/sbin/varnishncsa_vlogger.sh

<syntaxhighlight lang='bash'>
#!/bin/sh

TAIL="tail -F -n0 /var/log/varnish/varnishncsa.log"
VLOGGER="vlogger -u varnishlog -g varnishlog -a -t access-%Y-%m-%d.log -s access.log /var/log/varnish"

exec $TAIL | ( $VLOGGER; pkill -P $$ )
</syntaxhighlight>

# chmod 755 /usr/local/sbin/varnishncsa_vlogger.sh

* Activer ce script via ''init'':
Dans '''/etc/inittab''', ajouter à la fin:
vl:23:respawn:/usr/local/sbin/varnishncsa_vlogger.sh

Recharger ''init'':
# init q

* Il ne reste plus qu'à consulter les logs dans les sous-répertoires de /var/log/varnish !

== Commandes utiles ==

=== varnishlog ===

* Afficher les URLs "backend" et "client" en temps réél:
$ varnishlog | awk '/xURL/ { url=$4 } /Host: / { printf("%s http://%s%s\n", $3, $5, url); }'

[[Catégorie:Applications]]

Varnish

2013-04-10T15:23:19Z

SLiX : /* varnishlog */

Varnish

2013-04-10T15:22:13Z

SLiX : /* varnishlog */

{| align="right"
| __TOC__
|}
[https://www.varnish-cache.org/ Varnish] est un cache HTTP. Il permet d'améliorer les performances de sites Web dynamiques en gardant en mémoire (ou sur un stockage persistent) des versions statiques d'objets générés (PHP, HTML, CSS, JS, images, ...).

== Varnishd ==

La configuration des règles de Varnish se fait grâce à un langage appelé VCL, dont voici quelques exemples d'utilisations.

=== Nettoyage de l'en-tête Host ===
<pre>
sub vcl_recv {
# Suppression des points finaux (.) et ports superflus (ex: kerlinux.org.:80 -> kerlinux.org)
set req.http.host = regsub(req.http.host, "\.*(:\d+)*$", "");
}
</pre>

=== Gérer l'en-tête X-Forwarded-For ===
<pre>
sub vcl_recv {
if (req.restarts == 0) {
if (req.http.x-forwarded-for) {
set req.http.X-Forwarded-For = req.http.X-Forwarded-For + ", " + client.ip;
} else {
set req.http.X-Forwarded-For = client.ip;
}
}
}
</pre>

=== Normaliser l'en-tête Accept-Encoding ===
<pre>
sub vcl_rec {
if (req.http.Accept-Encoding) {
if (req.url ~ "\.(pdf|jpeg|jpg|png|gif|gz|tgz|bz2|tbz|mp3|ogg)$") {
remove req.http.Accept-Encoding;
} elsif (req.http.User-Agent ~ "MSIE 6") {
unset req.http.Accept-Encoding;
} elsif (req.http.Accept-Encoding ~ "gzip") {
set req.http.Accept-Encoding = "gzip";
} elsif (req.http.Accept-Encoding ~ "deflate") {
set req.http.Accept-Encoding = "deflate";
} elsif (req.http.Accept-Encoding ~ "sdch") {
set req.http.Accept-Encoding = "sdch";
} else {
remove req.http.Accept-Encoding;
}
}
}
</pre>

=== Supprimer certains cookies entrants ===
<pre>
sub vcl_recv {
if (req.http.Cookie) {
# Suppression des cookies "__utm?" de suivi des utilisateurs (Google Analytics)
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *__utm.=[^;]*;? *", "\1");

# Suppression du cookie nommé exactement "MYCOOKIE"
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *MYCOOKIE=[^;]*;? *", "\1");

# Nettoyage de début et fin de valeur de Cookie
set req.http.Cookie = regsuball(req.http.Cookie, "^[; ]+|[; ]+$", "");

# Si finalement, il n'y a plus de cookie, suppression de l'en-tête
if (req.http.Cookie ~ "^\s*$") {
remove req.http.Cookie;
}
}
}
</pre>

=== Activer la gestion des ESI ===
<pre>
sub vcl_recv {
set req.http.Surrogate-Capability = "abc=ESI/1.0";
}

sub sub_fetch {
if (beresp.http.Surrogate-Control ~ "ESI/1.0") {
unset beresp.http.Surrogate-Control;
set beresp.do_esi = true;
}
}
</pre>

=== Gérer la méthode PURGE ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
return(lookup);
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
</pre>

=== Gérer les méthodes PURGE et BAN ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE" || req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
if (req.request == "PURGE") {
return (lookup);

} elsif (req.request == "BAN") {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
error 200 "Ban added";
}
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
</pre>

=== Gérer la méthode BAN avec en-tête pour Regexp ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}

if (req.http.x-ban-regexp) {
ban ("req.http.host == " + req.http.host + " && req.url ~ " + req.http.x-ban-regexp);
unset req.http.x-ban-regexp;

} else {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
}

error 200 "Ban added";
}
}
</pre>

Utilisation:
<pre>
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
$ curl -X BAN -H "Host: site-ou-bannir" -H "X-Ban-Regexp: ^/regexp_a_bannir.*" http://varnish-server
</pre>

=== Créer une URL de test ===
Pour pouvoir tester facilement que Varnish est disponible, il est possible de créer une page d'erreur spéciale:
<pre>
sub vcl_recv {
if (req.url == "/varnish-status") {
error 200 "Varnish UP";
}
}
</pre>

== Varnishncsa ==

=== Séparer les logs par site avec vlogger ===

Voici une méthode permettant de générer un fichier de logs par site à partir d'un seul démon ''varnishncsa'' grâce à ''vlogger'':

* Installer vlogger (exemple Debian et compagnie):
# apt-get install vlogger

* Modifier le format de log afin d'avoir le contenu de l'en-tête ''Host'' en début de ligne:

Dans '''/etc/init.d/varnishncsa''':
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} \
devient
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} -F "${LOG_FORMAT}" \

Dans '''/etc/default/varnishncsa''', ajouter:
LOG_FORMAT="%{Host}i %h %l %u %t \"%m %U%q %H\" %s %b \"%{Referer}i\" \"%{User-agent}i\""

Puis redémarrer le service ''varnishncsa'':
# service varnishncsa restart

* Créer un script '''/usr/local/sbin/varnishncsa_vlogger.sh''':

# vi /usr/local/sbin/varnishncsa_vlogger.sh

<syntaxhighlight lang='bash'>
#!/bin/sh

TAIL="tail -F -n0 /var/log/varnish/varnishncsa.log"
VLOGGER="vlogger -u varnishlog -g varnishlog -a -t access-%Y-%m-%d.log -s access.log /var/log/varnish"

exec $TAIL | ( $VLOGGER; pkill -P $$ )
</syntaxhighlight>

# chmod 755 /usr/local/sbin/varnishncsa_vlogger.sh

* Activer ce script via ''init'':
Dans '''/etc/inittab''', ajouter à la fin:
vl:23:respawn:/usr/local/sbin/varnishncsa_vlogger.sh

Recharger ''init'':
# init q

* Il ne reste plus qu'à consulter les logs dans les sous-répertoires de /var/log/varnish !

== Commandes utiles ==

=== varnishlog ===

* Afficher les URLs "backend" et "client" en temps réél:
$ varnishlog | awk '/xURL/ { url=$NF } /Host: / { printf("%s http://%s%s\n", $3, $5, url); }'

[[Catégorie:Applications]]

Varnish

2013-04-10T15:22:05Z

SLiX :

{| align="right"
| __TOC__
|}
[https://www.varnish-cache.org/ Varnish] est un cache HTTP. Il permet d'améliorer les performances de sites Web dynamiques en gardant en mémoire (ou sur un stockage persistent) des versions statiques d'objets générés (PHP, HTML, CSS, JS, images, ...).

== Varnishd ==

La configuration des règles de Varnish se fait grâce à un langage appelé VCL, dont voici quelques exemples d'utilisations.

=== Nettoyage de l'en-tête Host ===
<pre>
sub vcl_recv {
# Suppression des points finaux (.) et ports superflus (ex: kerlinux.org.:80 -> kerlinux.org)
set req.http.host = regsub(req.http.host, "\.*(:\d+)*$", "");
}
</pre>

=== Gérer l'en-tête X-Forwarded-For ===
<pre>
sub vcl_recv {
if (req.restarts == 0) {
if (req.http.x-forwarded-for) {
set req.http.X-Forwarded-For = req.http.X-Forwarded-For + ", " + client.ip;
} else {
set req.http.X-Forwarded-For = client.ip;
}
}
}
</pre>

=== Normaliser l'en-tête Accept-Encoding ===
<pre>
sub vcl_rec {
if (req.http.Accept-Encoding) {
if (req.url ~ "\.(pdf|jpeg|jpg|png|gif|gz|tgz|bz2|tbz|mp3|ogg)$") {
remove req.http.Accept-Encoding;
} elsif (req.http.User-Agent ~ "MSIE 6") {
unset req.http.Accept-Encoding;
} elsif (req.http.Accept-Encoding ~ "gzip") {
set req.http.Accept-Encoding = "gzip";
} elsif (req.http.Accept-Encoding ~ "deflate") {
set req.http.Accept-Encoding = "deflate";
} elsif (req.http.Accept-Encoding ~ "sdch") {
set req.http.Accept-Encoding = "sdch";
} else {
remove req.http.Accept-Encoding;
}
}
}
</pre>

=== Supprimer certains cookies entrants ===
<pre>
sub vcl_recv {
if (req.http.Cookie) {
# Suppression des cookies "__utm?" de suivi des utilisateurs (Google Analytics)
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *__utm.=[^;]*;? *", "\1");

# Suppression du cookie nommé exactement "MYCOOKIE"
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *MYCOOKIE=[^;]*;? *", "\1");

# Nettoyage de début et fin de valeur de Cookie
set req.http.Cookie = regsuball(req.http.Cookie, "^[; ]+|[; ]+$", "");

# Si finalement, il n'y a plus de cookie, suppression de l'en-tête
if (req.http.Cookie ~ "^\s*$") {
remove req.http.Cookie;
}
}
}
</pre>

=== Activer la gestion des ESI ===
<pre>
sub vcl_recv {
set req.http.Surrogate-Capability = "abc=ESI/1.0";
}

sub sub_fetch {
if (beresp.http.Surrogate-Control ~ "ESI/1.0") {
unset beresp.http.Surrogate-Control;
set beresp.do_esi = true;
}
}
</pre>

=== Gérer la méthode PURGE ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
return(lookup);
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
</pre>

=== Gérer les méthodes PURGE et BAN ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE" || req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
if (req.request == "PURGE") {
return (lookup);

} elsif (req.request == "BAN") {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
error 200 "Ban added";
}
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
</pre>

=== Gérer la méthode BAN avec en-tête pour Regexp ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}

if (req.http.x-ban-regexp) {
ban ("req.http.host == " + req.http.host + " && req.url ~ " + req.http.x-ban-regexp);
unset req.http.x-ban-regexp;

} else {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
}

error 200 "Ban added";
}
}
</pre>

Utilisation:
<pre>
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
$ curl -X BAN -H "Host: site-ou-bannir" -H "X-Ban-Regexp: ^/regexp_a_bannir.*" http://varnish-server
</pre>

=== Créer une URL de test ===
Pour pouvoir tester facilement que Varnish est disponible, il est possible de créer une page d'erreur spéciale:
<pre>
sub vcl_recv {
if (req.url == "/varnish-status") {
error 200 "Varnish UP";
}
}
</pre>

== Varnishncsa ==

=== Séparer les logs par site avec vlogger ===

Voici une méthode permettant de générer un fichier de logs par site à partir d'un seul démon ''varnishncsa'' grâce à ''vlogger'':

* Installer vlogger (exemple Debian et compagnie):
# apt-get install vlogger

* Modifier le format de log afin d'avoir le contenu de l'en-tête ''Host'' en début de ligne:

Dans '''/etc/init.d/varnishncsa''':
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} \
devient
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} -F "${LOG_FORMAT}" \

Dans '''/etc/default/varnishncsa''', ajouter:
LOG_FORMAT="%{Host}i %h %l %u %t \"%m %U%q %H\" %s %b \"%{Referer}i\" \"%{User-agent}i\""

Puis redémarrer le service ''varnishncsa'':
# service varnishncsa restart

* Créer un script '''/usr/local/sbin/varnishncsa_vlogger.sh''':

# vi /usr/local/sbin/varnishncsa_vlogger.sh

<syntaxhighlight lang='bash'>
#!/bin/sh

TAIL="tail -F -n0 /var/log/varnish/varnishncsa.log"
VLOGGER="vlogger -u varnishlog -g varnishlog -a -t access-%Y-%m-%d.log -s access.log /var/log/varnish"

exec $TAIL | ( $VLOGGER; pkill -P $$ )
</syntaxhighlight>

# chmod 755 /usr/local/sbin/varnishncsa_vlogger.sh

* Activer ce script via ''init'':
Dans '''/etc/inittab''', ajouter à la fin:
vl:23:respawn:/usr/local/sbin/varnishncsa_vlogger.sh

Recharger ''init'':
# init q

* Il ne reste plus qu'à consulter les logs dans les sous-répertoires de /var/log/varnish !

== Commandes utiles ==

=== varnishlog ===

* Afficher les URLs "backend" et "client" en temps réél:
$ varnishlog | awk '/xURL/ { url=$NF } /Host: / { printf("%s http://%s%s\n", $3, $5, url); }'

[[Catégorie:Applications]]

{| align="right"
| __TOC__
|}
[http://www.fail2ban.org/ Fail2ban] est un outil permettant de surveiller des fichiers journaux et de déclencher des actions sur la récurrence de certains événements. L'utilisation classique consiste à surveiller les échecs d'authentification (ex: SSH, HTTP, ...) et de bannir (via IPtables) l'adresse IP pendant une période définie.

== Configurations ==

Voici quelques exemples de configuration (testés sous Debian GNU/Linux 6.0 "squeeze"):

=== Apache HTTPd ===
==== Wordpress login ====

Dans /etc/fail2ban/filter.d/apache-wp-login.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-login]
enabled = true
port = http,https
filter = apache-wp-login
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Wordpress commentaires ====

Dans /etc/fail2ban/filter.d/apache-wp-comments.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-comments-post.php\s+HTTP/1\.."\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-comments]
enabled = true
port = http,https
filter = apache-wp-comments
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Ampache login ====

Dans /etc/fail2ban/filter.d/apache-ampache-www.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/ampache/login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-ampache-www]
enabled = true
port = http,https
filter = apache-ampache-www
logpath = /var/log/apache*/access*.log
maxretry = 10
</syntaxhighlight>

=== Fail2ban ===

==== Fail2ban week ====

Fail2ban peut bien sûr surveiller ses journaux, ce qui permet de faire ce genre de règles: bannir sur tous les ports et pendant une semaine les adresses IP bannies plusieurs fois par jour.

Dans /etc/fail2ban/filter.d/fail2ban.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = fail2ban.actions:\s+WARNING\s+\[(?:.*)\]\s+Ban\s+<HOST>
ignoreregex = fail2ban.actions:\s+WARNING\s+\[fail2ban\]\s+Ban\s+<HOST>
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[fail2ban]
enabled = true
filter = fail2ban
action = iptables-allports[name=fail2ban,protocol=all]
logpath = /var/log/fail2ban.log
maxretry = 3
# Find-time: 1 day
findtime = 86400
# Ban-time: 1 week
bantime = 604800
</syntaxhighlight>

=== Multi-jours ===

Le fonctionnement de base de Fail2ban ne permet pas de réagir facilement face à certains comportements. Par exemple, comment bloquer ceux qui ne font qu'une ou deux tentatives par jour ?

Cette section décrit un système qui permet de les détecter et de les bannir.

==== Enregistrement quotidien ====
Dans /etc/fail2ban/action.d/daily-record.conf:
<syntaxhighlight lang=ini>
[Definition]
actionstart = touch <logfile>
actionstop =
actioncheck =
actionban = DATE=`date --date="@<time>" +%%Y/%%m/%%d`
if ! grep -q "^$DATE 00:00:00 <ip>$" <logfile>
then
echo "$DATE 00:00:00 <ip>" >> <logfile>
fi
actionunban =

[Init]
logfile = ???
</syntaxhighlight>

Dans /etc/fail2ban/filter.d/daily-record.conf:
<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>$
ignoreregex =
</syntaxhighlight>

==== SSH ====
Dans /etc/fail2ban/jail.local:
<syntaxhighlight lang=ini>
[ssh-daily-record]
enabled = true
filter = sshd
logpath = /var/log/auth.log
maxretry = 1
action = daily-record[logfile=/var/run/fail2ban/ssh-daily.log]
bantime = 0

[ssh-daily-ban]
enabled = true
filter = daily-record
action = iptables-allports[name=ssh-daily,protocol=all]
logpath = /var/run/fail2ban/ssh-daily.log
maxretry = 5
findtime = 604800
bantime = 2592000
</syntaxhighlight>

==== Apache Wordpress login ====
Dans /etc/fail2ban/jail.local:
<syntaxhighlight lang=ini>
[apache-wp-login-daily-record]
enabled = true
filter = apache-wp-login
logpath = /var/log/apache*/access*.log
maxretry = 1
action = daily-record[logfile=/var/run/fail2ban/apache-wp-login-daily.log]
bantime = 0

[apache-wp-login-daily-ban]
enabled = true
filter = daily-record
action = iptables-allports[name=wp-login-daily,protocol=all]
logpath = /var/run/fail2ban/apache-wp-login-daily.log
maxretry = 5
findtime = 604800
bantime = 2592000
</syntaxhighlight>

[[Catégorie:Applications]]

Fail2ban

2013-02-13T10:23:56Z

SLiX :

Fail2ban

2013-02-03T13:13:34Z

SLiX :

Fail2ban

2013-02-03T13:07:58Z

SLiX :

== Configurations ==

Voici quelques exemples de configuration (testés sous Debian GNU/Linux 6.0 "squeeze"):

=== Apache HTTPd ===
==== Wordpress login ====

Dans /etc/fail2ban/filter.d/apache-wp-login.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-login]
enabled = true
port = http,https
filter = apache-wp-login
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Wordpress commentaires ====

Dans /etc/fail2ban/filter.d/apache-wp-comments.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-comments-post.php\s+HTTP/1\.."\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-comments]
enabled = true
port = http,https
filter = apache-wp-comments
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Ampache login ====

Dans /etc/fail2ban/filter.d/apache-ampache-www.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/ampache/login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-ampache-www]
enabled = true
port = http,https
filter = apache-ampache-www
logpath = /var/log/apache*/access*.log
maxretry = 10
</syntaxhighlight>

=== Fail2ban ===

==== Fail2ban week ====

Fail2ban peut bien sûr surveiller ses journaux, ce qui permet de faire ce genre de règles: bannir sur tous les ports et pendant une semaine les adresses IP bannies plusieurs fois par jour.

Dans /etc/fail2ban/filter.d/fail2ban.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = fail2ban.actions:\s+WARNING\s+\[(?:.*)\]\s+Ban\s+<HOST>
ignoreregex = fail2ban.actions:\s+WARNING\s+\[fail2ban\]\s+Ban\s+<HOST>
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[fail2ban]
enabled = true
filter = fail2ban
action = iptables-allports[name=fail2ban,protocol=all]
logpath = /var/log/fail2ban.log
maxretry = 3
# Find-time: 1 day
findtime = 86400
# Ban-time: 1 week
bantime = 604800
</syntaxhighlight>

[[Catégorie:Applications]]

Fail2ban

2013-02-03T13:03:38Z

SLiX : A protégé « Fail2ban » ([edit=sysop] (infini) [move=sysop] (infini))

== Configurations ==

Voici quelques exemples de configuration (testés sous Debian GNU/Linux 6.0 "squeeze"):

=== Apache HTTPd ===
==== Wordpress login ====

Dans /etc/fail2ban/filter.d/apache-wp-login.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-login]
enabled = true
port = http,https
filter = apache-wp-login
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Ampache login ====

Dans /etc/fail2ban/filter.d/apache-ampache-www.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/ampache/login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-ampache-www]
enabled = true
port = http,https
filter = apache-ampache-www
logpath = /var/log/apache*/access*.log
maxretry = 10
</syntaxhighlight>

=== Fail2ban ===

==== Fail2ban week ====

Fail2ban peut bien sûr surveiller ses journaux, ce qui permet de faire ce genre de règles: bannir sur tous les ports et pendant une semaine les adresses IP bannies plusieurs fois par jour.

Dans /etc/fail2ban/filter.d/fail2ban.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = fail2ban.actions:\s+WARNING\s+\[(?:.*)\]\s+Ban\s+<HOST>
ignoreregex = fail2ban.actions:\s+WARNING\s+\[fail2ban\]\s+Ban\s+<HOST>
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[fail2ban]
enabled = true
filter = fail2ban
action = iptables-allports[name=fail2ban,protocol=all]
logpath = /var/log/fail2ban.log
maxretry = 3
# Find-time: 1 day
findtime = 86400
# Ban-time: 1 week
bantime = 604800
</syntaxhighlight>

[[Catégorie:Applications]]