Hallo,
ich habe das Problem, dass Fail2ban nicht auf fehlerhafte logins reagiert.
In meiner /var/log/mail.log steht z.B. Folgendes:
Im Fail2ban log wird keine Eintrag vorgenommen. Ich gehe davon aus, dass er diesen Vorgang überhaupt nicht erkennt.
Der entsprechende Abschnitt der jail.conf:
Der Filter courierlogin.conf:
Hat da jemand einen Hinweis, was ich falsch eingestellt habe? Fail2ban hat jedenfalls den jail "courierauth" erfolgreich und fehlerfrei gestartet laut log:
Gruß
hafgan
ich habe das Problem, dass Fail2ban nicht auf fehlerhafte logins reagiert.
In meiner /var/log/mail.log steht z.B. Folgendes:
Code:
...
Nov 23 01:44:28 euve10111 pop3d: LOGIN FAILED, user=web10p5, ip=[::ffff:80.237.153.114]
Nov 23 01:44:33 euve10111 pop3d: Disconnected, ip=[::ffff:80.237.153.114]
Nov 23 01:44:33 euve10111 pop3d: Connection, ip=[::ffff:80.237.153.114]
Nov 23 01:44:33 euve10111 pop3d: LOGIN FAILED, user=web10p5, ip=[::ffff:80.237.153.114]
Nov 23 01:44:38 euve10111 pop3d: Disconnected, ip=[::ffff:80.237.153.114]
Nov 23 01:44:38 euve10111 pop3d: Connection, ip=[::ffff:80.237.153.114]
Nov 23 01:44:38 euve10111 pop3d: Disconnected, ip=[::ffff:80.237.153.114]
...
Im Fail2ban log wird keine Eintrag vorgenommen. Ich gehe davon aus, dass er diesen Vorgang überhaupt nicht erkennt.
Der entsprechende Abschnitt der jail.conf:
Code:
[courierauth]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log
Der Filter courierlogin.conf:
Code:
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#
failregex = LOGIN FAILED, .*, ip=\[<HOST>\]$
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Hat da jemand einen Hinweis, was ich falsch eingestellt habe? Fail2ban hat jedenfalls den jail "courierauth" erfolgreich und fehlerfrei gestartet laut log:
Code:
2010-11-22 20:15:14,869 fail2ban.jail : INFO Jail 'courierauth' started
Gruß
hafgan