Debian Jessie 8 / ISPConfig 3 / Fail2Ban

Okumba

New Member
Hi,

mir ist nach dem upgrade von Debian 7 auf 8 aufgefallen, dass fail2ban die fehlerhaften Login Versuche nicht so blockt, wie ich es erwarten würde. Es mag nun sein, dass dies mit dem Upgrade auf Debian 8 nichts zu tun hat.
Hintergrund: Der Server wurde zur Debian 7 Zeit nach dem Perfect Server Howto (https://www.howtoforge.com/perfect-server-debian-wheezy-apache2-bind-dovecot-ispconfig-3) aufgesetzt und läuft seit dem. Zum Testen haben wir die VM geclont und testen, ob alles funktioniert nach dem Upgrade auf Debian 8.

Die mail.log hat folgende ähnliche Einträge (IPs und URLs ersetzt):
Code:
Dec 28 10:29:51 srv dovecot: imap-login: Disconnected (auth failed, 12 attempts in 86 secs): user=<mail@testurl.com>, method=PLAIN, rip=8.8.8.8, lip=8.8.6.6, TLS, session=<asdasd>

Ich konnte also problemlos 12 Versuche unternehmen (und ggf. auch wesentlich mehr) ohne das fail2ban hier gebanned hätte. Wie auch? Für die 12 Versuche wurde ein einziger Logeintrag geschrieben.

Nach etwas googlen hab ich dann in der dovecot.conf "auth_verbose = yes" gesetzt, um die einzelnen login Versuche geloggt zu bekommen.
/etc/fail2ban/filter.d/dovecot-pop3imap.conf hab ich rudimentär wie folgt bearbeitet (Basis war die Datei vom aktuellen Perfect Server Debian ... Howto):
Code:
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
.* sql\(.*,<HOST>\): Password mismatch
.* sql\(.*,<HOST>\): unknown user
ignoreregex =
/etc/fail2ban/jail.local sieht so aus:
Code:
[DEFAULT]
bantime  = 600
maxretry = 3

#
# ISPCONFIG
#

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

Nach dem auth_verbose einschalten, bekomme ich nun folgende zusätzliche Logeinträge:
Code:
Dec 28 14:04:36 srv dovecot: auth-worker(1234): sql(mail@testurl.com.de,8.8.8.8): Password mismatch
Dec 28 14:04:46 srv dovecot: auth-worker(1234): sql(tester,8.8.8.8): unknown user

So schafft es fail2ban nun die Fehlversuche auch zu blocken. Meine Frage wäre natürlich, ist das wirklich der richtige Ansatz? Oder hab ich hier einen generellen Fehler in unserer Konfiguration.

Vielen Dank.
 

ramsys

Member
fail2ban selber wurde durch das Upgrade doch auch aktualisiert. Hast Du es mal mit den Original-Filtern versucht?
 

Werbung

Top