Понадобилось как-то прикрутить fail2ban к веб-форме авторизации в ISPmanager.
Готовых решений не нашел (были несколько вариантов, но для старых версий панелей, в которых иначе логируются попытки авторизации), пришлось ковыряться самому.
Создаем /etc/fail2ban/filter.d/ispmanager.conf со следующим содержимым:
[Init] maxlines = 11 [Definition] failregex = \[<HOST>\]\[\] '.*func=auth.*'.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n.*backtrace.*\n
В /etc/fail2ban/jail.local добавляем:
[ispmanager] enabled = true port = 80,443,1500 filter = ispmanager banaction = iptables-multiport logpath = /usr/local/mgr5/var/ispmgr.log findtime = 600 maxretry = 2 bantime = 3600
maxretry — максимальное количество провалившихся попыток авторизироваться
bantime — время бана в секундах
Не забываем перезапускать fail2ban после внесенных изменений.