forum.opennet.ru - "Не работает fail2ban для dovecot" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не работает fail2ban для dovecot"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не работает fail2ban для dovecot"	+/–
Сообщение от Jakov (??) on 07-Дек-10, 11:29
Как для dovecot можно проверить правильность regexp выражения? Имеем dovecot (только pop3 сервис) #/var/log/dovecot/dovecot.log 2010-12-07 09:57:53 pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<weqw>, method=PLAIN, rip=195.62.127.4, lip=195.62.128.5 #/etc/fail2ban/filter.d/dovecot.conf #(http://www.fail2ban.org/wiki/index.php/Talk:Dovecot) [Definition] failregex = dovecot.pop3-login.Aborted login.rip=<HOST>. ignoreregex = #/etc/fail2ban/filter.d/jail.conf [dovecot] enabled = true filter = dovecot action = iptables-multiport[name=dovecot, port="pop3", protocol=tcp] logpath = /var/log/dovecot/dovecot.log maxretry = 2 findtime = 60 bantime = 60 в течении 1 минуты делаю (ручками) 4 неправильных попытки проверки почты – никакие ИП не блокируются. Чего делаю не так? Как проверить ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Не работает fail2ban для dovecot, Jakov, 17:35 , 08-Дек-10, (1)
Не работает fail2ban для dovecot, remonik, 07:53 , 05-Авг-11, (2)
Не работает fail2ban для dovecot, ck80, 08:06 , 30-Май-12, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не работает fail2ban для dovecot" +/–

Сообщение от Jakov (??) on 08-Дек-10, 17:35

Кто-нибудь имеет рабочий конфиг ... или искать счастья в другом месте ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не работает fail2ban для dovecot" +/–

Сообщение от remonik on 05-Авг-11, 07:53

>[оверквотинг удален]
>    enabled = true
> filter = dovecot
> action = iptables-multiport[name=dovecot, port="pop3", protocol=tcp]
> logpath = /var/log/dovecot/dovecot.log
> maxretry = 2
> findtime = 60
> bantime = 60
> в течении 1 минуты делаю (ручками)  4 неправильных попытки проверки почты
> – никакие ИП не блокируются.
> Чего делаю не так?
привет
напиши мне на мыло всё обьясню к огромному сожалению этот очень глубокоуважаемый форум далеко не тот как когда то был ранее навряд ли тебе тут кто то поможет :(
маё мыло коллега remonik@mail.ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Не работает fail2ban для dovecot" +/–

Сообщение от ck80 (ok) on 30-Май-12, 08:06

> Как для dovecot можно проверить правильность regexp выражения?
Т.к. эта тема первая находится по поиску добавлю сюда информацию по fail2ban
1) Проверить выражение fail2ban можно с помощью его же встроенного проверяльщика
fail2ban-regex /путь/до/лог/файла /путь/до/конфига
например, fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/sasl.conf
Вывод будет примерно такой:
--------------------------------------------------------------------
Running tests
=============
Use regex file : /etc/fail2ban/filter.d/sasl.conf
Use log file   : /var/log/mail.log

Results
=======
Failregex
|- Regular expressions:
|  [1] (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]*={0,2})?$
|  [2] .*\[<HOST>\] *.* checkpass failed$
|  [3] .*\[<HOST>\] *.* authentication failure$
|
`- Number of matches:
   [1] 0 match(es)
   [2] 0 match(es)
   [3] 9 match(es)
Summary
=======
Addresses found:
[1]
[2]
[3]
    174.122.222.50 (Tue May 29 07:53:15 2012)
    174.122.222.50 (Tue May 29 07:53:17 2012)
    174.122.222.50 (Tue May 29 07:53:19 2012)
    174.122.222.50 (Tue May 29 07:53:20 2012)
    174.122.222.50 (Tue May 29 07:53:22 2012)
    174.122.222.50 (Tue May 29 07:53:23 2012)
    174.122.222.50 (Tue May 29 07:53:25 2012)
    174.122.222.50 (Tue May 29 07:53:27 2012)
    63.228.150.105 (Wed May 30 02:38:52 2012)
-----------------------------------------------------------------
2. С чем я столкнулся. Проверяйте права на лог файлы! Если fail2ban не сможет их прочитать, то и блокировать он не будет.
3. Чтобы получать уведомление на email о блокированных IP нужно в файле
/etc/fail2ban/jail.conf
Изменить параметр
action = %(action_)s
на
action = %(action_mwl)s или action = %(action_mw)s
Описание параметра есть в конфиг файле.

4. Мои regex
в фильтр postfix.conf добавить правило для 550 ошибки (Пользователь не найден)
failregex =    reject: RCPT from (.*)\[<HOST>\]: 550
В фильтр sasl.conf добавить правило
failregex =     .*\[<HOST>\] *.* authentication failure$
В фильтр courierlogin.conf
failregex =     .*\[<HOST>\] *.* checkpass failed$
В фильтр cyrus-imap.conf
failregex =     .*\[<HOST>\] *.* checkpass failed$
Создаём фильтр apache для защиты от перебора страниц. Создаём новый файл с таким содержанием:
--------/etc/fail2ban/filter.d/apache-pma.conf----------------
[Definition]
failregex = [[]client <HOST>[]] File does not exist:
ignoreregex =
--------------------------------------------------------------
В jail.conf прописываем новый фильтр:
--------/etc/fail2ban/jail.conf-------------------------------
[apache-pma]
enabled = true
port    = http,https
filter = apache-pma
logpath = /var/log/apache2/error.log
maxretry = 3
--------------------------------------------------------------

5. После всех добавлений нужно перезапуситть fail2ban
/etc/init.d/fail2ban restart

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работает fail2ban для dovecot"	+/–
Сообщение от Jakov (??) on 08-Дек-10, 17:35
Кто-нибудь имеет рабочий конфиг ... или искать счастья в другом месте ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Не работает fail2ban для dovecot"	+/–
Сообщение от remonik on 05-Авг-11, 07:53
>[оверквотинг удален] > enabled = true > filter = dovecot > action = iptables-multiport[name=dovecot, port="pop3", protocol=tcp] > logpath = /var/log/dovecot/dovecot.log > maxretry = 2 > findtime = 60 > bantime = 60 > в течении 1 минуты делаю (ручками) 4 неправильных попытки проверки почты > – никакие ИП не блокируются. > Чего делаю не так? привет напиши мне на мыло всё обьясню к огромному сожалению этот очень глубокоуважаемый форум далеко не тот как когда то был ранее навряд ли тебе тут кто то поможет :( маё мыло коллега remonik@mail.ru
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

3. "Не работает fail2ban для dovecot"	+/–
Сообщение от ck80 (ok) on 30-Май-12, 08:06
> Как для dovecot можно проверить правильность regexp выражения? Т.к. эта тема первая находится по поиску добавлю сюда информацию по fail2ban 1) Проверить выражение fail2ban можно с помощью его же встроенного проверяльщика fail2ban-regex /путь/до/лог/файла /путь/до/конфига например, fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/sasl.conf Вывод будет примерно такой: -------------------------------------------------------------------- Running tests ============= Use regex file : /etc/fail2ban/filter.d/sasl.conf Use log file : /var/log/mail.log Results ======= Failregex \|- Regular expressions: \| [1] (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN\|PLAIN\|(?:CRAM\|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]={0,2})?$ \| [2] .\[<HOST>\] . checkpass failed$ \| [3] .\[<HOST>\] .* authentication failure$ \| `- Number of matches: [1] 0 match(es) [2] 0 match(es) [3] 9 match(es) Summary ======= Addresses found: [1] [2] [3] 174.122.222.50 (Tue May 29 07:53:15 2012) 174.122.222.50 (Tue May 29 07:53:17 2012) 174.122.222.50 (Tue May 29 07:53:19 2012) 174.122.222.50 (Tue May 29 07:53:20 2012) 174.122.222.50 (Tue May 29 07:53:22 2012) 174.122.222.50 (Tue May 29 07:53:23 2012) 174.122.222.50 (Tue May 29 07:53:25 2012) 174.122.222.50 (Tue May 29 07:53:27 2012) 63.228.150.105 (Wed May 30 02:38:52 2012) ----------------------------------------------------------------- 2. С чем я столкнулся. Проверяйте права на лог файлы! Если fail2ban не сможет их прочитать, то и блокировать он не будет. 3. Чтобы получать уведомление на email о блокированных IP нужно в файле /etc/fail2ban/jail.conf Изменить параметр action = %(action_)s на action = %(action_mwl)s или action = %(action_mw)s Описание параметра есть в конфиг файле. 4. Мои regex в фильтр postfix.conf добавить правило для 550 ошибки (Пользователь не найден) failregex = reject: RCPT from (.)\[<HOST>\]: 550 В фильтр sasl.conf добавить правило failregex = .\[<HOST>\] . authentication failure$ В фильтр courierlogin.conf failregex = .\[<HOST>\] .* checkpass failed$ В фильтр cyrus-imap.conf failregex = .\[<HOST>\] .* checkpass failed$ Создаём фильтр apache для защиты от перебора страниц. Создаём новый файл с таким содержанием: --------/etc/fail2ban/filter.d/apache-pma.conf---------------- [Definition] failregex = [[]client <HOST>[]] File does not exist: ignoreregex = -------------------------------------------------------------- В jail.conf прописываем новый фильтр: --------/etc/fail2ban/jail.conf------------------------------- [apache-pma] enabled = true port = http,https filter = apache-pma logpath = /var/log/apache2/error.log maxretry = 3 -------------------------------------------------------------- 5. После всех добавлений нужно перезапуситть fail2ban /etc/init.d/fail2ban restart
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору