Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Проблемы с правильным конфигом dovecot и fail2ban  (Прочитано 3185 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн man_gust

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
Hello all.
Имеем dovecot (только pop3 сервис)
Как для dovecot можно проверить правильность regexp выражения для fail2ban?

#/var/log/dovecot/dovecot.log
2010-12-07 09:57:53 pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<weqw>, method=PLAIN, rip=195.62.127.4, lip=195.62.128.5

#/etc/fail2ban/filter.d/dovecot.conf
#(http://www.fail2ban.org/wiki/index.php/Talk:Dovecot)
[Definition]
failregex = dovecot.*pop3-login.*Aborted login.*rip=<HOST>.*
ignoreregex =

#/etc/fail2ban/jail.conf
[dovecot]
enabled = true                          
filter = dovecot                            
action = iptables-multiport[name=dovecot, port="pop3", protocol=tcp]
logpath = /var/log/dovecot/dovecot.log    
maxretry = 2                
findtime = 60                                      
bantime = 60

в течении 1 минуты делаю (ручками)  4 неправильных попытки проверки почты – никакие ИП не блокируются.
Чего делаю не так? Как проверить ?

« Последнее редактирование: 09 Декабрь 2010, 14:10:53 от man_gust »

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2261
    • Просмотр профиля
Re: Проблемы с правильным конфигом dovecot и fail2ban
« Ответ #1 : 09 Декабрь 2010, 14:15:00 »
Проверка любых правил fail2ban

fail2ban-regex <LOG> <REGEX>

"Правильное" правило для dovecot:

failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*


Оффлайн man_gust

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
Разобрался ...
Правильный regexp тот, который работает  :P - то-есть важна сцепка - regexp-формат лога

Я анализировал логи dovecot – похоже fail2ban их не понимает.
После этого натравил на системный лог – и всё запахало - “Рабочий” конфиг  такой:


#/var/log/auth.log
Dec  9 16:30:50 mail dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin rhost=x.x.x.x

#/etc/fail2ban/filter.d/dovecot.conf

[Definition]                                                                                                                                                                                                   
failregex = pam.*dovecot.*(?:authentication failure).*rhost=(?:::f{4,6}:)?(?P<host>\S*)                                                                                                                       
ignoreregex = 

#/etc/fail2ban/jail.conf
[dovecot]                                                                                                                                                                                                     
enabled = true                                                                                                                                                                                                 
filter = dovecot                                                                                                                                                                                               
action = iptables-multiport[name=dovecot, port="pop3,imap", protocol=tcp]                                                                                                                                     
logpath = /var/log/auth.log                                                                                                                                                                                   
maxretry = 20                                                                                                                                                                                                 
findtime = 1200                                                                                                                                                                                               
bantime = 1200

Работает на Ubuntu 10.04.01 LTS
Блокирует после 5 сек брутефорса
« Последнее редактирование: 09 Декабрь 2010, 17:55:28 от man_gust »

Оффлайн remonik

  • Любитель
  • *
  • Сообщений: 77
  • Кот-Шаман
    • Просмотр профиля
тут видишь вапрос такой что дроп происходит по имени юзера а не по попыткам подбора пасса к ящику
то есть если ты знаешь имя юзера-ящика то без проблем данный фильтр работать не будет (проверял гидрой)
"В чем сила юности? Время сгубило тысячи глупцов"

 

Страница сгенерирована за 0.146 секунд. Запросов: 22.