fail2ban und dovecot

Dieses Thema im Forum "Security Talk" wurde erstellt von doc, 18.04.2008.

  1. #1 doc, 18.04.2008
    Zuletzt bearbeitet: 18.04.2008
    doc

    doc Kaffeetrinker

    Dabei seit:
    26.08.2006
    Beiträge:
    586
    Zustimmungen:
    0
    Ort:
    bremen
    Langsam dreh ich durch ...

    diese config

    Code:
    cat filter.d/dovecot.conf 
    # Fail2Ban configuration file
    #
    # Author: Yaroslav Halchenko
    #
    # $Revision: 331 $
    #
    
    [Definition]
    
    # Option: failregex
    # Notes.: regex to match the password failures messages in the logfile. The
    #          host must be matched by a group named "host". The tag "<HOST>" can
    #          be used for standard IP/hostname matching.
    # Values: TEXT
    #
    failregex = Disconnected:.*rip=<HOST>,
    
    bei folgendem logeintrag

    Code:
    grep Disconnected:.*rip= /var/log/dovecot/dovecot.log
    
    dovecot: 2008-04-18 17:08:54 Info: pop3-login: Disconnected: user=<xxx@yyy.zz>, method=PLAIN, rip=ww.xx.yy.zz, lip=ww.xx.yy.zz, TLS
    
    will einfach nicht, habe schon ne menge verschiedener regexp probiert, aber diese sollte doch eigentlich greifen, oder ?

    mit dieser config z.B :

    failregex = FAILED LOGIN <HOST>

    bei diesem logeintrag

    Code:
    grep FAILED.LOGIN /var/log/horde.log
    
    Apr 18 19:48:23 HORDE [error] [imp] FAILED LOGIN xx.yy.zz.ww to localhost:993[imap/ssl/novalidate-cert] as whatever [on line 258 of "/var/www/domain.xx/horde/imp/lib/Auth/imp.php"]
    funktioniert es.

    hier noch ein auszug aus der jail.conf

    Code:
    [horde]
    
    enabled  = true
    port	 = https
    filter   = horde
    logpath  = /var/log/horde.log
    
    
    [dovecot]
    
    enabled  = true
    port	 = pop3s
    filter   = dovecot
    logpath  = /var/log/dovecot/dovecot.log
    
    und von iptables -L

    Code:
    iptables -L
    Chain INPUT (policy DROP)
    target     prot opt source               destination         
    fail2ban-sasl  tcp  --  anywhere             anywhere            tcp dpt:smtp 
    fail2ban-apache  tcp  --  anywhere             anywhere            tcp dpt:www 
    fail2ban-dovecot  tcp  --  anywhere             anywhere            tcp dpt:pop3s 
    fail2ban-ssh  tcp  --  anywhere             anywhere            tcp dpt:ssh 
    fail2ban-proftpd  tcp  --  anywhere             anywhere            tcp dpt:ftp 
    fail2ban-postfix  tcp  --  anywhere             anywhere            tcp dpt:smtp 
    fail2ban-horde  tcp  --  anywhere             anywhere            tcp dpt:https
    ich verstehe es einfach nicht, alles geht ohne probleme, nur dovecot nicht.

    os: debian etch

    jede idee ist herzlich willkommen ...
    .
    .
    .
    EDIT Gelöst :
    .

    ok ich bin gerade darauf gestossen, daß fail2ban eventuell das Zeitformat im log nicht lesen kann, ich hoffe das ist es ...

    nee das wars auch nich ganz, aber nu läufts, warum auch immer, nachdem ich jetzt das syslog benutze.

    irgendwie kam fail2ban anscheinend nicht mit dem format des logfiles zurecht
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

fail2ban und dovecot

Die Seite wird geladen...

fail2ban und dovecot - Ähnliche Themen

  1. fail2ban und dovecot failregex

    fail2ban und dovecot failregex: Hi, Ich habe in letzter Zeit häufig Brute-Force Atacken auf meinen dovecot pop3/imap Server registriert. Daher wollte ich ihn mit fail2ban...
  2. Fail2Ban won't ban

    Fail2Ban won't ban: Hey, ich hab meinen Debian Server neu aufgesetzt und jetzt möchte mein Fail2Ban nicht mehr fehlgeschlagene SSH-Zugriffe bannen. Auszug aus...
  3. Hilfe bei fail2ban

    Hilfe bei fail2ban: Hallo, kann mir bei fail2ban behilflich sein? Ich möchte gerne nach 5 fehlgeschlagenen Logins, am Roundcube Interface, die Ip Adresse sperren....
  4. fail2ban Angriff auf Mailport nicht erkannt

    fail2ban Angriff auf Mailport nicht erkannt: Hallo Mein System: Debian Squeeze Ich habe von logcheck eine E-Mail bekommen, dass meine Mail Log verdächtige Einträge enthält. Gut, habe...
  5. fail2ban sendet keine mail

    fail2ban sendet keine mail: Hi, habe mir erstmal fail2ban auf ssh eingestellt. Bei 1 Fehlversuch bannt er die IP mit einem Eintrag in iptables. ABER: Er sendet keine...