ISPConfig3 - auth.log FAILED Login über syslog mit fail2ban absichern

Brainfood

Member
Moin,

da es recht ärgerlich ist wenn fail2ban nach einem Neustart seine Banned IPs vergisst, schieben meine ISPConfigs sämtliche Loginfos auf einen externen Syslog-Server, der nach periodischer Auswertung den Servern wieder eine global gültige Ban_Liste zurück liefert.

Um die /var/log/ispconfig/auth.log etwas übersichtlicher fürs syslog zu schneiden, hab ich ein primitives Skript auf die schnelle erstellt

Die Einrichtung ist simpel:

/etc/fail2ban/jail.local

Code:
[ispconfig-auth]
 
enabled = true
filter = ispconfig-auth
action = iptables-multiport[name=ispconfig-auth, port="8080,8081,10000", protocol=tcp]
logpath = /var/log/syslog
bantime  = 31536000
maxretry = 10
/etc/fail2ban/filter.d/ispconfig-auth.conf

Code:
Fail2Ban configuration file
#
# Author:       www.sbshosting.biz
#
# $Revision:
#
[INCLUDES]
 
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
 
[Definition]
failregex = ^%(__prefix_line)sispconfig-auth: FAILED login for .* from <HOST>$
 
ignoreregex =
crontab -e

Code:
# Script for transfer ispconfig/auth.log FAILED LOGIN events to syslog
* * * * *       /root/ispcnf_auth_to_syslog.sh
#
vi /root/ispcnf_auth_to_syslog.sh

chmod 550 /root/ispcnf_auth_to_syslog.sh



_____________________
ISPConfig - Mini HowTos
 
Zuletzt bearbeitet:

Werbung

Top