ISPConfig3 - auth.log FAILED Login über syslog mit fail2ban absichern

#1
Moin,

da es recht ärgerlich ist wenn fail2ban nach einem Neustart seine Banned IPs vergisst, schieben meine ISPConfigs sämtliche Loginfos auf einen externen Syslog-Server, der nach periodischer Auswertung den Servern wieder eine global gültige Ban_Liste zurück liefert.

Um die /var/log/ispconfig/auth.log etwas übersichtlicher fürs syslog zu schneiden, hab ich ein primitives Skript auf die schnelle erstellt

Die Einrichtung ist simpel:

/etc/fail2ban/jail.local

Code:
[ispconfig-auth]
 
enabled = true
filter = ispconfig-auth
action = iptables-multiport[name=ispconfig-auth, port="8080,8081,10000", protocol=tcp]
logpath = /var/log/syslog
bantime  = 31536000
maxretry = 10
/etc/fail2ban/filter.d/ispconfig-auth.conf

Code:
Fail2Ban configuration file
#
# Author:       www.sbshosting.biz
#
# $Revision:
#
[INCLUDES]
 
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
 
[Definition]
failregex = ^%(__prefix_line)sispconfig-auth: FAILED login for .* from <HOST>$
 
ignoreregex =
crontab -e

Code:
# Script for transfer ispconfig/auth.log FAILED LOGIN events to syslog
* * * * *       /root/ispcnf_auth_to_syslog.sh
#
vi /root/ispcnf_auth_to_syslog.sh

chmod 550 /root/ispcnf_auth_to_syslog.sh



_____________________
ISPConfig - Mini HowTos
 
Zuletzt bearbeitet:

Werbung

Top