fail2ban Fehler

nowayback

Well-Known Member
#1
Moinsen,

irgendwie seh ich gerade den Wald vor Bäumen nicht mehr...

Ich hab folgenden Fehler:
fail2ban.filter : ERROR Unable to compile regular expression '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?PS*),.*'
Meine dovecot-pop3imap.conf sieht so aus:
Code:
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*
ignoreregex =
So steht es auch in allen Tutorials drin...

Hat jemand ne Idee?

Grüße
nwb
 

nowayback

Well-Known Member
#4
Moinsen,

einige Tests später, muss ich leider mitteilen, dass ich es noch immer nicht auf die Reihe bekommen hab diesen Filter zum laufen zu bringen... selbst fail2ban 0.8.6-3~bpo60+1 aus den debian squeeze backports erzeugt den gleichen fehler...

Hat noch jemand eine Idee?

Achja, bei Regex steh ich immer bissl im Wald... dass bei "failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*" nicht alle klammern geschlossen werden ist korrekt? Schließlich stehts so in den Tutorials.



Nachtrag:
mit der Default Regel von fail2ban funktionierts (/etc/fail2ban/filter.d/dovecot.conf):
Code:
# Fail2Ban configuration file for dovcot
#
# Author: Martin Waschbuesch
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = .*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Grüße
nwb
 
Zuletzt bearbeitet:

Till

Administrator
#5
Ich hab gestern ein perect setup debian 6 mit dovecot installiert, copy & paste der fail2ban regeln aus dem tutorial und es funktioniert bei mir fehlerfrei. Ich hab nach eem englischen tutorial auf howtoforge.com installiert.
 

nowayback

Well-Known Member
#6
Ich hatte HowtoForge Linux Tutorials » Der Perfekte Server - Debian Squeeze (Debian 6.0) mit BIND & Dovecot [ISPConfig 3] genommen... aber die fail2ban Regel steht in allen deutschen Tutorials so drin, wie ich sie im ersten Post eingefügt hatte... und für sowas nehm ich dann auch immer copy & paste.. Naja nun geb ich mich mit der Vorlage zufrieden, denn die scheint auch das zu machen was ich will ;)

Wollte nur die Lösung nicht vorenthalten falls noch jemand auf diesen kuriosen Fehler trifft.

Grüße
nwb
 
#7
Habe es wie folgt (Debian6 - Sparc64):

/ etc / fail2ban / jail.local

Code:
[dovecot-pop3imap]

enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
bantime  = 31536000
maxretry = 10
/etc / fail2ban / filter.d / dovecot-pop3imap.conf

Code:
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
ignoreregex =
 
Zuletzt bearbeitet:

nowayback

Well-Known Member
#9
Hi,

ist ja kein Problem... meine Lösung, die ich oben gepostet habe, funktioniert ja auch problemlos und ist per default verfügbar. Somit muss man ja nur diese aktivieren, anstatt ne neue zu schreiben ;)




Hier nochmal als Info:
# Fail2Ban configuration file for dovcot
#
# Author: Martin Waschbuesch
#
# $Revision$
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = .*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Trotzdem danke für den Hinweis.

Grüße
nwb
 
#10
wollte nur sagen, bei Debian wheezy und Fail2ban v0.8.6 muss auch die Zeile mit .*(? genommen werden. Die andere funktioniert nicht:
Code:
fail2ban.filter : ERROR  Unable to compile regular expression '(?:  pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth  failed|Aborted login (tried to use disabled|Disconnected (auth  failed|Aborted login (d+ authentication attempts).*rip=(?P
 

Werbung