fail2ban és saslauthd

Sziasztok!

Fail2ban-t használok pl. az ssh-hoz is nagy elégedettséggel.
Gondoltam ráállítom a postfixre/saslauthd-re is, mert néha napján tömeges errorokkal van tele a log, a random usernév/jelszó próbálkozókkal.

De ebben az esetben nem tesz semmit a fail2ban.

Így kapcsoltam be [debianon]:

/etc/fail2ban/jail.conf:

[sasl]

enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log

[postfix]

enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log

/etc/fail2ban/filter.d/sasl.conf

[Definition]
failregex = : warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$
ignoreregex =

/etc/fail2ban/filter.d/postfix.conf

[Definition]
failregex = reject: RCPT from (.*)\[\]: 554
reject: RCPT from (.*)\[\]: 450 4.7.1
reject: RCPT from (.*)\[\]: 554 5.7.1
ignoreregex =

Mi kellene ahhoz, hogy rendeltetés szerűen tegye a dolgát, és bannolja a kis k@cs@g@ket?

Előre is köszönöm!

update1

cat /etc/fail2ban/jail.conf

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 6

cat /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Disconnected \(auth failed).*rip=(?P\S*),.*
ignoreregex =

1860 megtekintés

hogy mi kellene ahhoz? hát rendesen be kéne állítani. :)
ha nem bannol, akkor nem jó a regexp, nem jó log file-ból keres, nem tudja olvasni a log file-t, de lehet bármi más is, pl.: konfig módosítás után f2b restart volt?
fail2ban.log mit mond ilyenkor? észleli a támadást, csak nem jól reagál, vagy már azt se? illetve mit mond a mail.log az ilyen próbálkozásokkor?

0 szavazat

A hozzászóláshoz be kell jelentkezni

jó fájlból keres, joga is van olvasni, f2b restart is megvolt
az f2b logban ennyi szerepel:

2010-08-23 13:45:47,755 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2010-08-23 13:45:47,756 fail2ban.jail : INFO Creating new jail 'dovecot-pop3imap'
2010-08-23 13:45:47,756 fail2ban.jail : INFO Jail 'dovecot-pop3imap' uses poller
2010-08-23 13:45:47,779 fail2ban.filter : INFO Added logfile = /var/log/mail.log
2010-08-23 13:45:47,780 fail2ban.filter : INFO Set maxRetry = 6
2010-08-23 13:45:47,781 fail2ban.filter : INFO Set findtime = 600
2010-08-23 13:45:47,781 fail2ban.actions: INFO Set banTime = 600
2010-08-23 13:45:47,787 fail2ban.jail : INFO Creating new jail 'ssh'
2010-08-23 13:45:47,788 fail2ban.jail : INFO Jail 'ssh' uses poller
2010-08-23 13:45:47,788 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-08-23 13:45:47,789 fail2ban.filter : INFO Set maxRetry = 6
2010-08-23 13:45:47,790 fail2ban.filter : INFO Set findtime = 600
2010-08-23 13:45:47,790 fail2ban.actions: INFO Set banTime = 600
2010-08-23 13:45:47,961 fail2ban.jail : INFO Creating new jail 'postfix'
2010-08-23 13:45:47,961 fail2ban.jail : INFO Jail 'postfix' uses poller
2010-08-23 13:45:47,962 fail2ban.filter : INFO Added logfile = /var/log/mail.log
2010-08-23 13:45:47,962 fail2ban.filter : INFO Set maxRetry = 3
2010-08-23 13:45:47,963 fail2ban.filter : INFO Set findtime = 600
2010-08-23 13:45:47,964 fail2ban.actions: INFO Set banTime = 600
2010-08-23 13:45:47,971 fail2ban.jail : INFO Creating new jail 'sasl'
2010-08-23 13:45:47,971 fail2ban.jail : INFO Jail 'sasl' uses poller
2010-08-23 13:45:47,972 fail2ban.filter : INFO Added logfile = /var/log/mail.log
2010-08-23 13:45:48,032 fail2ban.filter : INFO Set maxRetry = 3
2010-08-23 13:45:48,033 fail2ban.filter : INFO Set findtime = 600
2010-08-23 13:45:48,034 fail2ban.actions: INFO Set banTime = 600
2010-08-23 13:45:48,040 fail2ban.jail : INFO Creating new jail 'apache'
2010-08-23 13:45:48,040 fail2ban.jail : INFO Jail 'apache' uses poller
2010-08-23 13:45:48,041 fail2ban.filter : INFO Added logfile = /var/log/apache2/AZ-ÖSSZES-_error.log

2010-08-23 13:45:48,051 fail2ban.filter : INFO Set maxRetry = 6
2010-08-23 13:45:48,052 fail2ban.filter : INFO Set findtime = 600
2010-08-23 13:45:48,052 fail2ban.actions: INFO Set banTime = 600
2010-08-23 13:45:48,071 fail2ban.jail : INFO Jail 'dovecot-pop3imap' started
2010-08-23 13:45:48,094 fail2ban.jail : INFO Jail 'ssh' started
2010-08-23 13:45:48,330 fail2ban.jail : INFO Jail 'postfix' started
2010-08-23 13:45:48,358 fail2ban.jail : INFO Jail 'sasl' started
2010-08-23 13:45:48,376 fail2ban.jail : INFO Jail 'apache' started

viszont működés közben nincs f2b log esemény...
kipróbáltam, hogy ssh-n rossz jelszót adok meg, azt rögtön bannolta :-)
tehát működik az f2b.

ez van a mail.logban, ami a próbálkozót illeti:

Aug 23 13:59:24 xxxxx dovecot: imap-login: Disconnected: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Aug 23 13:59:24 xxxxx postfix/smtpd[22489]: warning: unknown[203.129.241.84]: SASL LOGIN authentication failed: authentication failure
Aug 23 13:59:32 xxxxx dovecot: imap-login: Disconnected: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Aug 23 13:59:32 xxxxx postfix/smtpd[22489]: warning: unknown[203.129.241.84]: SASL LOGIN authentication failed: authentication failure
Aug 23 13:59:40 xxxxx postfix/smtpd[22489]: warning: unknown[203.129.241.84]: SASL LOGIN authentication failed: authentication failure
Aug 23 13:59:40 xxxxx dovecot: imap-login: Disconnected: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Aug 23 13:59:48 xxxxx postfix/smtpd[22489]: warning: unknown[203.129.241.84]: SASL LOGIN authentication failed: authentication failure
Aug 23 13:59:48 xxxxx dovecot: imap-login: Disconnected: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured

--
by Mikul@s

0 szavazat