En prérequis, il faut installer le plugin loglog qui journalise les connexions des utilisateurs au service Dokuwiki. Pour plus de détail concernant la gestion des plugins de Dokuwiki voir le wiki extensions.

Le fichier de log est créé dans ./data/cache/loglog.log

Ci dessous un extrait du fichier de journalisation produit par Dokuwiki lorsque le module loglog est installé:

loglog.log

1682455440      2023/04/25 20:44        176.143.166.229 user0   failed login attempt
1682456821      2023/04/25 21:07        176.143.166.229 user0   logged in temporarily   
1682456825      2023/04/25 21:07        176.143.166.229 user0   admin   
1682456829      2023/04/25 21:07        176.143.166.229 user0   admin - config  
1682456843      2023/04/25 21:07        176.143.166.229 user0   admin - config  ["save config"] 
1682456941      2023/04/25 21:09        176.143.166.229 user0   admin - logviewer
1682457224      2023/04/25 21:13        176.143.166.229 user0   logged off

• 5 colonnes;
• Les deux premières colonnes représentent la même information (timestamp et reformatage UTC);
• IP source se trouve en 3ième colonne;
• le message “failed login attempt” apparaît sur la 5ième colonne lorsqu'un échec d'authentification a lieu.

# tester l'expression régulière
fail2ban-regex /srv/docker/dokuwiki/userdata/data/cache/loglog.log /etc/fail2ban/filter.d/dokuwiki.local
 
 
fail2ban-clien reload
fail2ban-client get dokuwiki failregex

Lorsque l’application Dokuwiki fonctionne dans un conteneur Docker, le bannissement ne fonctionne pas. Malgré l'ajout de l'IP, le service reste accessible.

• man fail2ban-regex
• https://www.it-connect.fr/filtres-et-actions-personnalises-dans-fail2ban/
• https://seifer.guru/2021/01/2021-01-fail2ban-with-nginx-in-container/