fail2ban Fehler

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von nowayback, 10. Okt. 2012.

  1. nowayback

    nowayback Well-Known Member

    Moinsen,

    irgendwie seh ich gerade den Wald vor Bäumen nicht mehr...

    Ich hab folgenden Fehler:
    Meine dovecot-pop3imap.conf sieht so aus:
    Code:
    [Definition]
    failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*
    ignoreregex =
    So steht es auch in allen Tutorials drin...

    Hat jemand ne Idee?

    Grüße
    nwb
     
  2. Till

    Till Administrator

    Welche Linux Distribution verwendest Du und welche fail2ban version?
     
  3. nowayback

    nowayback Well-Known Member

    Hallo Till,

    ich hab Debian Squeeze am Laufen 6.0.6 mit fail2ban_0.8.4-3+squeeze1 aus den Debian Repos.

    Grüße
    nwb
     
  4. nowayback

    nowayback Well-Known Member

    Moinsen,

    einige Tests später, muss ich leider mitteilen, dass ich es noch immer nicht auf die Reihe bekommen hab diesen Filter zum laufen zu bringen... selbst fail2ban 0.8.6-3~bpo60+1 aus den debian squeeze backports erzeugt den gleichen fehler...

    Hat noch jemand eine Idee?

    Achja, bei Regex steh ich immer bissl im Wald... dass bei "failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*" nicht alle klammern geschlossen werden ist korrekt? Schließlich stehts so in den Tutorials.



    Nachtrag:
    mit der Default Regel von fail2ban funktionierts (/etc/fail2ban/filter.d/dovecot.conf):
    Code:
    # Fail2Ban configuration file for dovcot
    #
    # Author: Martin Waschbuesch
    #
    # $Revision$
    #
    
    [Definition]
    
    # Option:  failregex
    # Notes.:  regex to match the password failures messages in the logfile. The
    #          host must be matched by a group named "host". The tag "<HOST>" can
    #          be used for standard IP/hostname matching and is only an alias for
    #          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
    # Values:  TEXT
    #
    failregex = .*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
    
    # Option:  ignoreregex
    # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    # Values:  TEXT
    #
    ignoreregex =
    

    Grüße
    nwb
     
    Zuletzt bearbeitet: 12. Okt. 2012
  5. Till

    Till Administrator

    Ich hab gestern ein perect setup debian 6 mit dovecot installiert, copy & paste der fail2ban regeln aus dem tutorial und es funktioniert bei mir fehlerfrei. Ich hab nach eem englischen tutorial auf howtoforge.com installiert.
     
  6. nowayback

    nowayback Well-Known Member

    Ich hatte HowtoForge Linux Tutorials » Der Perfekte Server - Debian Squeeze (Debian 6.0) mit BIND & Dovecot [ISPConfig 3] genommen... aber die fail2ban Regel steht in allen deutschen Tutorials so drin, wie ich sie im ersten Post eingefügt hatte... und für sowas nehm ich dann auch immer copy & paste.. Naja nun geb ich mich mit der Vorlage zufrieden, denn die scheint auch das zu machen was ich will ;)

    Wollte nur die Lösung nicht vorenthalten falls noch jemand auf diesen kuriosen Fehler trifft.

    Grüße
    nwb
     
  7. Brainfood

    Brainfood Member

    Habe es wie folgt (Debian6 - Sparc64):

    / etc / fail2ban / jail.local

    Code:
    [dovecot-pop3imap]
    
    enabled = true
    filter = dovecot-pop3imap
    action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
    logpath = /var/log/mail.log
    bantime  = 31536000
    maxretry = 10
    
    /etc / fail2ban / filter.d / dovecot-pop3imap.conf

    Code:
    [Definition]
    failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
    ignoreregex =
    
     
    Zuletzt bearbeitet: 16. Okt. 2012
  8. Balu

    Balu New Member

    Servus

    Das Problem liegt bei dem Deutschen Howto die bei dem englishen funktionieren.
    MFG
     
  9. nowayback

    nowayback Well-Known Member

    Hi,

    ist ja kein Problem... meine Lösung, die ich oben gepostet habe, funktioniert ja auch problemlos und ist per default verfügbar. Somit muss man ja nur diese aktivieren, anstatt ne neue zu schreiben ;)




    Hier nochmal als Info:

    Trotzdem danke für den Hinweis.

    Grüße
    nwb
     
  10. beyerservice

    beyerservice Member

    wollte nur sagen, bei Debian wheezy und Fail2ban v0.8.6 muss auch die Zeile mit .*(? genommen werden. Die andere funktioniert nicht:
    Code:
    fail2ban.filter : ERROR  Unable to compile regular expression '(?:  pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth  failed|Aborted login (tried to use disabled|Disconnected (auth  failed|Aborted login (d+ authentication attempts).*rip=(?P
    
     

Diese Seite empfehlen