LFD总是在30天后停止工作，直到我给/etc/csf/csf.pl -r为止。

Question

当我给/etc/csf/csf.pl -r发邮件时，我看到很多行在脸红，然后我又开始收到通知邮件，(每天几封电子邮件)，例如：

Time:     Wed Sep 12 08:39:47 2012 +0800
IP:       221.13.104.162 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

Sep 12 08:39:25 MyHost sshd[9677]: Failed password for root from 221.13.104.162 port 51106 ssh2
Sep 12 08:39:28 MyHost sshd[9712]: Failed password for root from 221.13.104.162 port 51690 ssh2
Sep 12 08:39:32 MyHost sshd[9739]: Failed password for root from 221.13.104.162 port 52128 ssh2
Sep 12 08:39:36 MyHost sshd[9778]: Failed password for root from 221.13.104.162 port 52670 ssh2
Sep 12 08:39:40 MyHost sshd[9821]: Failed password for root from 221.13.104.162 port 53155 ssh2

大约30天后，电子邮件就停止了，好像有东西被填满了，需要再冲一次。

我对CSF/LFD不太了解，但我可以想象它会以FIFO的方式工作，所以它应该能够在有限的空间内无限期地运行。

My /etc/csf/version.txt表示4.83

我的cat /proc/版本上写着Linux version 2.6.18-028stab066.8 (root@rhel5-64-build) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Fri Nov 27 20:19:25 MSK 2009

Answer 1

默认情况下，登录失败守护进程(LFD)只会暂时阻塞IP很多次，因为试图在永久阻止该IP之前强行强制该服务。大概到了那个时候，你就不会再看到临时块的通知邮件了。相关设置在csf.conf中。寻找"LF_PERMBLOCK“。此外，FIFO的想法是正确的。CSF将阻止由配置指令DENY_IP_LIMIT和DENY_TEMP_IP_LIMIT确定的最多数量的IP，此时最老(第一个)被阻塞的IP将被解封，而有利于最新的罪犯。

我相信重新启动CSF将清除LFD块列表。

我建议阅读配置脚本并检查您的日志以验证正在发生的事情。

资料来源：http://configserver.com/free/csf/readme.txt，csf.conf in http://www.configserver.com/free/csf.tgz