Courier-IMAP, fail2ban und die syslog-Kompression

W

wespe

New Member
Hallo zusammen,

ich bin gerade dabei, bei einem noch-nicht-produktiv-vServer (CentOS 5.7 "angerichtet" von Plesk 10.4.4) die grundlegenden Einrichtungsschritte auszuprobieren (also Sachen á la root-Login, Updates, etc), und möchte dabei auch die Kommunikation mit POP3/IMAP und SMTP (+ jew. SSL/TLS-Variante) mit fail2ban ausstatten.

Für POP3 usw verwende ich courier-imap, für SMTP Postfix.

Für den Fall dass jemand fail2ban nicht kennt: Ein Stück Software, das die Logdateien von verschiedenen Diensten mitliest, dabei mit Hilfe von Regexen Brute-Force-Loginversuche erkennt, und dann mit hosts.deny oder iptables den jeweiligen Angreifer für eine bestimmte Zeit sperrt.

Problem: Mein syslog-Daemon verwendet offenbar Kompression, er schreibt also manchmal nur den ersten Login-Versuch ins Log, und danach nur "last message repeated " + z.B. 10 + " times". Damit kann fail2ban aber nichts anfangen!

Bei SSHD gibt es eine Option, mit der nach x Loginversuchen die Verbindung getrennt wird. Gibt's das auch für courier-imap? Oder irgendeine andere Einstellung, die helfen könnte?

Natürlich könnte ich auch syslogd durch syslog-ng ersetzen, aber das stelle ich mir ziemlich aufwendig vor...


Ich hoffe, jemand kennt eine elegante, standardkonforme 2-Minuten-Lösung... ;)



Viele Grüße,
Wespe
 
Was steht denn in /etc/sysconfig/syslog ?
Die Option -c-c bei SYSLOGD_OPTIONS schaltet die Kompression komplett aus.
 
Last edited by a moderator:
Danke für deine Antwort, GwenDragon! :)
GwenDragon said:
Was steht denn in /etc/sysconfig/syslog ?
Click to expand...
Code: 
# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0"
# Options to klogd
# -2 prints all kernel oops messages twice; once for klogd to decode, and
#    once for processing with 'ksymoops'
# -x disables all klogd processing of oops messages entirely
# See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1).
# By default, all permissions are removed for "group" and "other".

Die Option -c-c bei SYSLOGD_OPTIONS schaltet die Kompression komplett aus.
Click to expand...
Leider funktioniert das nicht – wenn ich noch -c-c anhänge, startet der syslogd nicht mehr (nach "/etc/init.d/syslog restart"), es sagt, dass die Option "-c" invalid ist. :( Soweit ich weiß kann man die Kompression nicht bei allen syslogd-Implementierungen abschalten. Meine scheint eine solche zu sein...

Deshalb suche ich ja mit diesem Verbindung-trennen-nach-x-Fehlversuchen quasi einen workaround, denn beim Trennen und Neu-Verbinden werden ja neue Zeilen erzeugt.
 
Code: 
man syslogd
sollte dir die möglichen Optionen deines syslog-Daemon anzeigen. Was spricht ansonsten dagegen, einen alternativen syslog-Daemon zu verwenden, beispielsweise den mittlerweile weit verbreitetes rsyslog?
 
danton said:
Code: 
man syslogd
sollte dir die möglichen Optionen deines syslog-Daemon anzeigen.
Click to expand...
Da steht leider nichts bzgl. Kompression drin. :(

Was spricht ansonsten dagegen, einen alternativen syslog-Daemon zu verwenden, beispielsweise den mittlerweile weit verbreitetes rsyslog?
Click to expand...
Naja, wenn kein Weg dran vorbeiführt, nichts. Ist halt viel mehr Arbeit. :D (Syslog ist etwas, womit ich mich bislang fast garnicht befasst habe) Und ob der sich mit Plesk verträgt...
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top