FreeBSD: Как обновиться без сети?
Вы абсолютно уверены, что в чистой конфигурации, как proxypass fail2ban не будет работать здесь по нескольким причинам.
fail2ban действительно работает, просматривая журналы, и блокируя неудачные попытки аутентификации; у вас нет ничего подобного, так как аутентификация происходит на бэкенде.
fail2ban как серия определений для известных протоколов; это может быть не так в некоторых конкретных случаях, и вы должны будете разработать свой плагин, когда это произойдет.
fail2ban должен быть запущен на той же машине, где выполняется аутентификация.
Прежде всего, когда вы выбираете инструменты, я рекомендую вам немного изучить, применимы ли они к вашей конкретной ситуации. Более важным, чем использование инструментов, является понимание того, применимы ли они к вашей ситуации.
Действительно, можно использовать fail2ban для блокировки злоупотреблений базовыми веб-авторизациями, как показано в этой ссылке. Я просто думаю, что ваш proxypass имеет приоритет, и аутентификация никогда не будет выполнена. Вам может понадобиться целевая страница для аутентификации и делать proxypass не в корне на этом vhost.
Я обычно использую mod_evasive по крайней мере как дополнительный уровень безопасности в Apache для контроля DoS/абсолютных запросов. Посмотрите мой ответ в этой теме (он не тот, который отмечен как правильный) Редактирование моего /etc/hosts.deny Обратите внимание, что в Apache вы можете ограничить скорость запросов, и это очень помогает людям, злоупотребляющим вашим сервисом, и не только при запросе паролей.
Пожалуйста, рассмотрите возможность использования Captchas в качестве меры седьмого уровня для ограничения количества ответов. Сети, координируемые ботнетами, сделают ваши правила fail2ban неэффективными, используя несколько различных IP-адресов для обхода ваших мер.
Взгляните на это:
"Google reCAPTCHA - Защитите свой сайт от спама и злоупотреблений, позволяя реальным людям легко проходить"
Вы всегда можете скопировать установочный образ FreeBSD 12.0, предназначенный для USB-накопителей.
Теоретически вы также можете обновиться до FreeBSD 12.0 с помощью того же USB-накопителя, однако, как вы, вероятно, знаете, прямое обновление с 9.3 до 12.0 не будет успешным.
Я также в значительной степени думаю, что пытаясь выяснить, какие прыжки вам нужно сделать, самое большее 9.3 ->9.x ->10.x ->11.x ->12. x, а также вероятность того, что что-то пойдет не так, не стоят хлопот с переустановкой FreeBSD 12.0 заново.