IP-Adresse nicht geblockt trotz fail2ban

Doc.B

New Member
Morgen zusammen,

Ich hab auf einem Server fail2ban eingerichtet:
2011-06-30 22:35:09,403 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2011-06-30 22:35:09,403 fail2ban.jail : INFO Creating new jail 'dovecot-pop3imap'
2011-06-30 22:35:09,404 fail2ban.jail : INFO Jail 'dovecot-pop3imap' uses poller
2011-06-30 22:35:09,415 fail2ban.filter : INFO Set maxRetry = 2
2011-06-30 22:35:09,415 fail2ban.filter : INFO Set findtime = 1200
2011-06-30 22:35:09,416 fail2ban.actions: INFO Set banTime = 7200
2011-06-30 22:35:09,419 fail2ban.jail : INFO Jail 'dovecot-pop3imap' started

Nun stelle ich trotzdem reichlich 'Einbruchsversuche' fest:
Jul 4 07:42:14 server postfix/smtpd[7929]: warning: 140-55-31-64.servebyte.net[64.31.55.140]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jul 4 07:42:14 server postfix/smtpd[7932]: warning: 140-55-31-64.servebyte.net[64.31.55.140]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Wie kann ich feststellen, warum diese IP nicht geblockt wird?

Danke!
 

Till

Administrator
Laut dem obigen Log ist fail2ban konfiguriert um pop3 und imap logins zu überwachen, der untere logauszuh bezieht sich aber auf postfix sasl und nicht pop3 / imap. Ich vermute also mal dass der fail2ban auf Deinem Server postfix sasl garnicht überwacht.
 

Herr Bert

New Member
Das sollte dir eventuell helfen.

In deiner jail.local erstellst du den folgenden Eintrag:

[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log
maxretry = 1
bantime = 86400
# 1 month = 2419200; week = 604800; 4days=345600; 2days=172800; day = 86400

und in /etc/fail2ban/filter.d/ eine neue Datei mit dem Namen: sasl.conf, mit dem folgenden Inhalt:

# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 728 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:) [A-Za-z0-9+/]*={0,2})?$

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =


Damit sollte fail2ban die IP dann blocken können ;-)
 

Doc.B

New Member
Hi,

danke für den Hinweis. Die Datei /etc/fail2ban/filter.d/sasl.conf gibt es bereits, und wenn ich den vorgeschlagenen Eintrag in der jail.conf erstelle startet fail2ban nicht mehr:
Jul 10 14:47:03 server startproc: startproc: exit status of parent of /usr/bin/fail2ban-client: 255

Stattdessen hab ich den Eintrag
[sasl-iptables]

enabled = true
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=you@mail.com]
logpath = /var/log/mail.log
maxretry = 3
bantime = 7200
aktiviert. Damit startet fail2ban, obs hilft muss ich abwarten....
 

Werbung

Top