ISPConfig3 - auth.log FAILED Login über syslog mit fail2ban absichern

Dieses Thema im Forum "Tipps - Tricks - Mods" wurde erstellt von Brainfood, 23. März 2013.

  1. Brainfood

    Brainfood Member

    Moin,

    da es recht ärgerlich ist wenn fail2ban nach einem Neustart seine Banned IPs vergisst, schieben meine ISPConfigs sämtliche Loginfos auf einen externen Syslog-Server, der nach periodischer Auswertung den Servern wieder eine global gültige Ban_Liste zurück liefert.

    Um die /var/log/ispconfig/auth.log etwas übersichtlicher fürs syslog zu schneiden, hab ich ein primitives Skript auf die schnelle erstellt

    Die Einrichtung ist simpel:

    /etc/fail2ban/jail.local

    Code:
    [ispconfig-auth]
     
    enabled = true
    filter = ispconfig-auth
    action = iptables-multiport[name=ispconfig-auth, port="8080,8081,10000", protocol=tcp]
    logpath = /var/log/syslog
    bantime  = 31536000
    maxretry = 10
    /etc/fail2ban/filter.d/ispconfig-auth.conf

    Code:
    Fail2Ban configuration file
    #
    # Author:       www.sbshosting.biz
    #
    # $Revision:
    #
    [INCLUDES]
     
    # Read common prefixes. If any customizations available -- read them from
    # common.local
    before = common.conf
     
    [Definition]
    failregex = ^%(__prefix_line)sispconfig-auth: FAILED login for .* from <HOST>$
     
    ignoreregex =
    crontab -e

    Code:
    # Script for transfer ispconfig/auth.log FAILED LOGIN events to syslog
    * * * * *       /root/ispcnf_auth_to_syslog.sh
    #
    vi /root/ispcnf_auth_to_syslog.sh

    chmod 550 /root/ispcnf_auth_to_syslog.sh



    _____________________
    ISPConfig - Mini HowTos
     
    Zuletzt bearbeitet: 23. März 2013

Diese Seite empfehlen