Debian Jessie 8 / ISPConfig 3 / Fail2Ban

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Okumba, 28. Dez. 2015.

  1. Okumba

    Okumba New Member

    Hi,

    mir ist nach dem upgrade von Debian 7 auf 8 aufgefallen, dass fail2ban die fehlerhaften Login Versuche nicht so blockt, wie ich es erwarten würde. Es mag nun sein, dass dies mit dem Upgrade auf Debian 8 nichts zu tun hat.
    Hintergrund: Der Server wurde zur Debian 7 Zeit nach dem Perfect Server Howto (https://www.howtoforge.com/perfect-server-debian-wheezy-apache2-bind-dovecot-ispconfig-3) aufgesetzt und läuft seit dem. Zum Testen haben wir die VM geclont und testen, ob alles funktioniert nach dem Upgrade auf Debian 8.

    Die mail.log hat folgende ähnliche Einträge (IPs und URLs ersetzt):
    Code:
    Dec 28 10:29:51 srv dovecot: imap-login: Disconnected (auth failed, 12 attempts in 86 secs): user=<mail@testurl.com>, method=PLAIN, rip=8.8.8.8, lip=8.8.6.6, TLS, session=<asdasd>
    Ich konnte also problemlos 12 Versuche unternehmen (und ggf. auch wesentlich mehr) ohne das fail2ban hier gebanned hätte. Wie auch? Für die 12 Versuche wurde ein einziger Logeintrag geschrieben.

    Nach etwas googlen hab ich dann in der dovecot.conf "auth_verbose = yes" gesetzt, um die einzelnen login Versuche geloggt zu bekommen.
    /etc/fail2ban/filter.d/dovecot-pop3imap.conf hab ich rudimentär wie folgt bearbeitet (Basis war die Datei vom aktuellen Perfect Server Debian ... Howto):
    Code:
    [Definition]
    failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
    .* sql\(.*,<HOST>\): Password mismatch
    .* sql\(.*,<HOST>\): unknown user
    ignoreregex =
    /etc/fail2ban/jail.local sieht so aus:
    Code:
    [DEFAULT]
    bantime  = 600
    maxretry = 3
    
    #
    # ISPCONFIG
    #
    
    [pureftpd]
    enabled  = true
    port     = ftp
    filter   = pureftpd
    logpath  = /var/log/syslog
    maxretry = 3
    
    [dovecot-pop3imap]
    enabled = true
    filter = dovecot-pop3imap
    action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
    logpath = /var/log/mail.log
    maxretry = 5
    
    [postfix-sasl]
    enabled  = true
    port     = smtp
    filter   = postfix-sasl
    logpath  = /var/log/mail.log
    maxretry = 3
    
    Nach dem auth_verbose einschalten, bekomme ich nun folgende zusätzliche Logeinträge:
    Code:
    Dec 28 14:04:36 srv dovecot: auth-worker(1234): sql(mail@testurl.com.de,8.8.8.8): Password mismatch
    Dec 28 14:04:46 srv dovecot: auth-worker(1234): sql(tester,8.8.8.8): unknown user
    
    So schafft es fail2ban nun die Fehlversuche auch zu blocken. Meine Frage wäre natürlich, ist das wirklich der richtige Ansatz? Oder hab ich hier einen generellen Fehler in unserer Konfiguration.

    Vielen Dank.
     
  2. ramsys

    ramsys Member

    fail2ban selber wurde durch das Upgrade doch auch aktualisiert. Hast Du es mal mit den Original-Filtern versucht?
     

Diese Seite empfehlen