IP-Adresse nicht geblockt trotz fail2ban

#1
Morgen zusammen,

Ich hab auf einem Server fail2ban eingerichtet:
2011-06-30 22:35:09,403 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2011-06-30 22:35:09,403 fail2ban.jail : INFO Creating new jail 'dovecot-pop3imap'
2011-06-30 22:35:09,404 fail2ban.jail : INFO Jail 'dovecot-pop3imap' uses poller
2011-06-30 22:35:09,415 fail2ban.filter : INFO Set maxRetry = 2
2011-06-30 22:35:09,415 fail2ban.filter : INFO Set findtime = 1200
2011-06-30 22:35:09,416 fail2ban.actions: INFO Set banTime = 7200
2011-06-30 22:35:09,419 fail2ban.jail : INFO Jail 'dovecot-pop3imap' started
Nun stelle ich trotzdem reichlich 'Einbruchsversuche' fest:
Jul 4 07:42:14 server postfix/smtpd[7929]: warning: 140-55-31-64.servebyte.net[64.31.55.140]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jul 4 07:42:14 server postfix/smtpd[7932]: warning: 140-55-31-64.servebyte.net[64.31.55.140]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Wie kann ich feststellen, warum diese IP nicht geblockt wird?

Danke!
 

Till

Administrator
#2
Laut dem obigen Log ist fail2ban konfiguriert um pop3 und imap logins zu überwachen, der untere logauszuh bezieht sich aber auf postfix sasl und nicht pop3 / imap. Ich vermute also mal dass der fail2ban auf Deinem Server postfix sasl garnicht überwacht.
 
#3
Das sollte dir eventuell helfen.

In deiner jail.local erstellst du den folgenden Eintrag:

[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log
maxretry = 1
bantime = 86400
# 1 month = 2419200; week = 604800; 4days=345600; 2days=172800; day = 86400

und in /etc/fail2ban/filter.d/ eine neue Datei mit dem Namen: sasl.conf, mit dem folgenden Inhalt:

# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 728 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:) [A-Za-z0-9+/]*={0,2})?$

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =


Damit sollte fail2ban die IP dann blocken können ;-)
 
#4
Hi,

danke für den Hinweis. Die Datei /etc/fail2ban/filter.d/sasl.conf gibt es bereits, und wenn ich den vorgeschlagenen Eintrag in der jail.conf erstelle startet fail2ban nicht mehr:
Jul 10 14:47:03 server startproc: startproc: exit status of parent of /usr/bin/fail2ban-client: 255

Stattdessen hab ich den Eintrag
[sasl-iptables]

enabled = true
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=you@mail.com]
logpath = /var/log/mail.log
maxretry = 3
bantime = 7200
aktiviert. Damit startet fail2ban, obs hilft muss ich abwarten....
 

Werbung

Top