fail2ban und dovecot failregex

Dieses Thema im Forum "Firewalls" wurde erstellt von Muling, 02.01.2009.

  1. Muling

    Muling Doppel-As

    Dabei seit:
    07.01.2008
    Beiträge:
    124
    Zustimmungen:
    0
    Ort:
    Luxemburg
    Hi,

    Ich habe in letzter Zeit häufig Brute-Force Atacken auf meinen dovecot pop3/imap Server registriert. Daher wollte ich ihn mit fail2ban absichern, da ich bei anderen Diensten sehr gute erfahrungen gemacht habe.

    Nur lieder kann ich keinen Failregex finden, der passt. Die fehlerhaften Login-Versuche kann man in verschiedenen Logs finden:

    /var/log/auth.log

    Code:
    Jan  2 20:36:24 cl-t116-190cl dovecot-auth: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=96.57.118.132 
    Jan  2 20:36:24 cl-t116-190cl dovecot-auth: (pam_unix) check pass; user unknown                                                             
    
    /var/log/mail.info
    Code:
    Jan  2 20:41:23 cl-t116-190cl dovecot: auth(default): shadow(oscar,96.57.118.132): unknown user
    Jan  2 20:41:24 cl-t116-190cl dovecot: pop3-login: Aborted login: user=<oscar>, method=PLAIN, rip=96.57.118.132, lip=70.38.22.193
    Jan  2 20:41:26 cl-t116-190cl dovecot: auth(default): pam(oscar,96.57.118.132): pam_authenticate() failed: User not known to the underlying authentication module
    
    /var/log/mail.log
    Code:
    Jan  2 20:43:50 cl-t116-190cl dovecot: auth(default): pam(owen,96.57.118.132): pam_authenticate() failed: User not known to the underlying authentication module
    Jan  2 20:43:50 cl-t116-190cl dovecot: auth(default): shadow(owen,96.57.118.132): unknown user
    
    Was könnte ich in /etc/fail2ban/filter.d/dovecot.conf schreiben? Ich habe verschiedene Regex'es ausprobiert doch hat keiner gegriffen. Ich kann auch nicht wirklich viel Doku zu fail2ban finden.

    Ich wäre sehr dankbar wenn ihr euch das mal ansehen könntet.

    Gruß, Muling
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 doc, 02.01.2009
    Zuletzt bearbeitet: 02.01.2009
    doc

    doc Kaffeetrinker

    Dabei seit:
    26.08.2006
    Beiträge:
    586
    Zustimmungen:
    0
    Ort:
    bremen
    das problem hatte ich auch, habe dann in der dovecot.conf logging to syslog aktiviert, und dann ham die regexps gegriffen.

    ne erklärung dafür habe ich nicht, weil mit allen anderen programmen läuft es in beliebigen logfiles und regexps, aber mit dovecot nicht.

    edit: hmmh wobei sieht ja nach syslog aus ...

    probier doch einfach mal mit grep ob deine regexps greifen, weil dann sollte das eigentlich auch in fail2ban laufen.
    Eigentlich, weil wie bereits erwähnt, bei mir das erst ging nachdem ich die manuellen logfilepaths in der config deaktivierte, und syslogfacility: mail ausgewählt habe.
     
  4. Muling

    Muling Doppel-As

    Dabei seit:
    07.01.2008
    Beiträge:
    124
    Zustimmungen:
    0
    Ort:
    Luxemburg
    Hmm, also Die einzige Option die ich in der /etc/dovecot/dovecot.conf unter Logging gesetzt habe ist syslog_facility = mail. Von daher sollte schon Syslog genutzt werden. Sowas hab ich auch schon irdengwo gelesen.

    Kannst du mir denn sagen welche Regexp du benutzt, oder einen Link wie man die Regexps zu formulieren hat? Ich steig da nicht wirklich durch.

    Gruß, Muling
     
  5. #4 doc, 02.01.2009
    Zuletzt bearbeitet: 02.01.2009
    doc

    doc Kaffeetrinker

    Dabei seit:
    26.08.2006
    Beiträge:
    586
    Zustimmungen:
    0
    Ort:
    bremen
    hmmh ich nutze eine andere auth method als du.

    ich würde es einfach mal mit:

    und /var/log/mail.info

    probieren.

    mein regexp ist auch recht simpel, nutze sql auth und habe nach einigen tests gesehn, das nach jedwegen fehlerhaften login immer eine zeile ala:

    ausgespuckt wird.

    und habe einfach das

    bei mir.

    ist eventuel nicht failsafe, funktioniert bisher aber einwandfrei

    und wenn es so läuft kannste das ja noch verfeinern, ich war bisher zu faul dazu :p
     
  6. Muling

    Muling Doppel-As

    Dabei seit:
    07.01.2008
    Beiträge:
    124
    Zustimmungen:
    0
    Ort:
    Luxemburg
    Dank dir!

    Funktioniert einwandfrei. Ich werde das dann noch etwas verfeinern wenn Bedarf besteht.

    Allerdings funktioniert es komischerweise nicht wenn man es mit fail2ban-regex testen möchte, sondern nur wenn man es in die Config-Datei schreibt und fail2ban neustartet.

    Vielen Dank für deine Hilfe.

    Gruß, Muling
     
  7. #6 BeNeDeLuX, 05.03.2009
    BeNeDeLuX

    BeNeDeLuX LinuXuser

    Dabei seit:
    10.11.2008
    Beiträge:
    20
    Zustimmungen:
    0
    Ort:
    Allgäu
    Versuch es mal damit:
    Greez BeNe
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

fail2ban und dovecot failregex

Die Seite wird geladen...

fail2ban und dovecot failregex - Ähnliche Themen

  1. fail2ban und dovecot

    fail2ban und dovecot: Langsam dreh ich durch ... diese config cat filter.d/dovecot.conf # Fail2Ban configuration file # # Author: Yaroslav Halchenko # #...
  2. Fail2Ban won't ban

    Fail2Ban won't ban: Hey, ich hab meinen Debian Server neu aufgesetzt und jetzt möchte mein Fail2Ban nicht mehr fehlgeschlagene SSH-Zugriffe bannen. Auszug aus...
  3. Hilfe bei fail2ban

    Hilfe bei fail2ban: Hallo, kann mir bei fail2ban behilflich sein? Ich möchte gerne nach 5 fehlgeschlagenen Logins, am Roundcube Interface, die Ip Adresse sperren....
  4. fail2ban Angriff auf Mailport nicht erkannt

    fail2ban Angriff auf Mailport nicht erkannt: Hallo Mein System: Debian Squeeze Ich habe von logcheck eine E-Mail bekommen, dass meine Mail Log verdächtige Einträge enthält. Gut, habe...
  5. fail2ban sendet keine mail

    fail2ban sendet keine mail: Hi, habe mir erstmal fail2ban auf ssh eingestellt. Bei 1 Fehlversuch bannt er die IP mit einem Eintrag in iptables. ABER: Er sendet keine...