IP-Adresse nicht geblockt trotz fail2ban

Dieses Thema im Forum "Server Administration" wurde erstellt von Doc.B, 4. Juli 2011.

  1. Doc.B

    Doc.B New Member

    Morgen zusammen,

    Ich hab auf einem Server fail2ban eingerichtet:
    Nun stelle ich trotzdem reichlich 'Einbruchsversuche' fest:
    Wie kann ich feststellen, warum diese IP nicht geblockt wird?

    Danke!
     
  2. Till

    Till Administrator

    Laut dem obigen Log ist fail2ban konfiguriert um pop3 und imap logins zu überwachen, der untere logauszuh bezieht sich aber auf postfix sasl und nicht pop3 / imap. Ich vermute also mal dass der fail2ban auf Deinem Server postfix sasl garnicht überwacht.
     
  3. Herr Bert

    Herr Bert New Member

    Das sollte dir eventuell helfen.

    In deiner jail.local erstellst du den folgenden Eintrag:

    [sasl]
    enabled = true
    port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
    filter = sasl
    logpath = /var/log/mail.log
    maxretry = 1
    bantime = 86400
    # 1 month = 2419200; week = 604800; 4days=345600; 2days=172800; day = 86400

    und in /etc/fail2ban/filter.d/ eine neue Datei mit dem Namen: sasl.conf, mit dem folgenden Inhalt:

    # Fail2Ban configuration file
    #
    # Author: Yaroslav Halchenko
    #
    # $Revision: 728 $
    #

    [Definition]

    # Option: failregex
    # Notes.: regex to match the password failures messages in the logfile. The
    # host must be matched by a group named "host". The tag "<HOST>" can
    # be used for standard IP/hostname matching and is only an alias for
    # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
    # Values: TEXT
    #
    failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:) [A-Za-z0-9+/]*={0,2})?$

    # Option: ignoreregex
    # Notes.: regex to ignore. If this regex matches, the line is ignored.
    # Values: TEXT
    #
    ignoreregex =


    Damit sollte fail2ban die IP dann blocken können ;-)
     
  4. Doc.B

    Doc.B New Member

    Hi,

    danke für den Hinweis. Die Datei /etc/fail2ban/filter.d/sasl.conf gibt es bereits, und wenn ich den vorgeschlagenen Eintrag in der jail.conf erstelle startet fail2ban nicht mehr:
    Jul 10 14:47:03 server startproc: startproc: exit status of parent of /usr/bin/fail2ban-client: 255

    Stattdessen hab ich den Eintrag
    aktiviert. Damit startet fail2ban, obs hilft muss ich abwarten....
     

Diese Seite empfehlen