Fail2Ban und dovecot - Printable Version

Fail2Ban und dovecot - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Plauderecke (/forum-49.html)
+---- Thread: Fail2Ban und dovecot (/thread-9669.html)

Pages: 1 2

Fail2Ban und dovecot - Darkside2009 - 02-19-2010 03:48 AM

seit einiger zeit sehe ich folgende einträge in der mail.log

Quote:Feb 17 04:05:43 server85195 postfix/smtpd[2543]: connect from 118-167-11-149.dynamic.hinet.net[118.167.11.149]
Feb 17 04:05:46 server85195 dovecot: Bad username "inna" from unknown ip to smtp server
Feb 17 04:05:46 server85195 dovecot: auth(default): dovecot: Bad username "inna" from unknown ip to smtp server
Feb 17 04:05:47 server85195 postfix/smtpd[2543]: warning: 118-167-11-149.dynamic.hinet.net[118.167.11.149]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

wer kann mir dafür eine Failregex zeile geben die ich in der /fail2ban/filter.d/dovecot.conf eintragen kann, damit diese ip von fail2ban gesperrt wird ?

danke schon mal

RE: Fail2Ban und dovecot - TheCry - 02-19-2010 05:35 AM

http://wiki.dovecot.org/HowTo/Fail2Ban

Ich denke das ist doch das was Du suchst, oder?

RE: Fail2Ban und dovecot - Darkside2009 - 02-19-2010 05:46 AM

(02-19-2010 05:35 AM)TheCry Wrote: http://wiki.dovecot.org/HowTo/Fail2Ban

Ich denke das ist doch das was Du suchst, oder?

das hatte ich auch schon gefunden. nur wenn ich das mit diesen einstellungen testen möchte, gibt es wieder fehler......

Quote:server85195:~# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf

Running tests
=============

Use regex file : /etc/fail2ban/filter.d/dovecot.conf
Use log file : /var/log/mail.log

Results
=======

Failregex
|- Regular expressions:
| [1] (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
|
`- Number of matches:
[1] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Sorry, no match

Look at the above section 'Running tests' which could contain important
information.

RE: Fail2Ban und dovecot - BeNe - 02-19-2010 05:00 PM

Ist zwar schon fast ein Jahr her als ich darüber geschrieben habe,
aber schau es Dir einfach mal an.

--> http://www.deluxe-stylez.de/2009/03/05/dovecot-mit-fail2ban-sichern

Greez BeNe

RE: Fail2Ban und dovecot - Darkside2009 - 02-19-2010 06:32 PM

(02-19-2010 05:00 PM)BeNe Wrote: Ist zwar schon fast ein Jahr her als ich darüber geschrieben habe,
aber schau es Dir einfach mal an.

--> http://www.deluxe-stylez.de/2009/03/05/dovecot-mit-fail2ban-sichern

Greez BeNe

Thx..... aber das hatte ich auch schon durch Freund Google gefunden. Mit diesen Einstellungen erhalte ich folgende ausgabe :

Quote:No 'host' group in '(?:imap|pop3)-login: Disconnected: user=<.*>, method=(?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5), rip=, lip'
Cannot remove regular expression. Index 0 is not valid

Results
=======

Failregex
|- Regular expressions:
| [1] (?:imap|pop3)-login: Disconnected: user=<.*>, method=(?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5), rip=, lip
|
`- Number of matches:
[1] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Sorry, no match

Look at the above section 'Running tests' which could contain important
information.

Sieht so aus, das fail2ban garnicht auf die logausgabe greift die ich im ersten post eingefügt habe.

RE: Fail2Ban und dovecot - BeNe - 02-19-2010 08:32 PM

Zum Post #3 nochmals.
Du schreibst von einem "Fehler". Sind denn solche Einträge in der jetzigen mail.conf enthalten ?

Habe grad eben mal das Standard REGEX aus dem Dovecot wiki genommen welches sauber bei mir funktioniert.

Greez BeNe

RE: Fail2Ban und dovecot - Darkside2009 - 02-19-2010 10:34 PM

(02-19-2010 08:32 PM)BeNe Wrote: Zum Post #3 nochmals.
Du schreibst von einem "Fehler". Sind denn solche Einträge in der jetzigen mail.conf enthalten ?

Habe grad eben mal das Standard REGEX aus dem Dovecot wiki genommen welches sauber bei mir funktioniert.

Greez BeNe

" Fehler " ist evtl falsch ausgedrückt........
es geht sich darum, das fail2ban nicht auf die sachen reagiert wie in meinem 1. post zu sehen.

meine mail.conf sieht so aus :

Quote:# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 660 $
#

[Definition]

# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>

# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = printf %%b "Hi,\n
The jail <name> has been stopped.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: stopped" <dest>

# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck =

# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = printf %%b "Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: banned <ip>" <dest>

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban =

[Init]

# Defaut name of the chain
#
name = default

# Destination/Addressee of the mail
#
dest = root

RE: Fail2Ban und dovecot - BeNe - 02-19-2010 11:37 PM

Was hat das mit der mail.conf zu tun ?
Oder wirst Du nur nicht per Mail von Fail2Ban informiert Rolleyes

Greez BeNe

RE: Fail2Ban und dovecot - Darkside2009 - 02-20-2010 12:03 AM

(02-19-2010 11:37 PM)BeNe Wrote: Was hat das mit der mail.conf zu tun ?
Oder wirst Du nur nicht per Mail von Fail2Ban informiert

Greez BeNe

Sind denn solche Einträge in der jetzigen mail.conf enthalten ? <----- danach hast du doch gefragt ?? oder hab ich das falsch verstanden ???

es geht sich alleine darum, das fail2ban nicht greift und die ip bannt ....

Quote:Feb 17 04:05:43 server85195 postfix/smtpd[2543]: connect from 118-167-11-149.dynamic.hinet.net[118.167.11.149]
Feb 17 04:05:46 server85195 dovecot: Bad username "inna" from unknown ip to smtp server
Feb 17 04:05:46 server85195 dovecot: auth(default): dovecot: Bad username "inna" from unknown ip to smtp server
Feb 17 04:05:47 server85195 postfix/smtpd[2543]: warning: 118-167-11-149.dynamic.hinet.net[118.167.11.149]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

es sieht so aus, das fail2ban da nichts mit anfangen und lässt es unberührt. alle 2 min. erscheinen solche einträge in der mail.log ( nachts in der zeit von 23.00 - 2.00 uhr )
immer mit einem anderen benutzernamen aber die gleiche ip.

RE: Fail2Ban und dovecot - TheCry - 02-20-2010 03:40 AM

Schau mal ob Dir hier was von hilft:
http://www.fail2ban.org/wiki/index.php/Talk:Dovecot
http://www.fail2ban.org/wiki/index.php/Dovecot