D
doc
Kaffeetrinker
Langsam dreh ich durch ...
diese config
bei folgendem logeintrag
will einfach nicht, habe schon ne menge verschiedener regexp probiert, aber diese sollte doch eigentlich greifen, oder ?
mit dieser config z.B :
failregex = FAILED LOGIN <HOST>
bei diesem logeintrag
funktioniert es.
hier noch ein auszug aus der jail.conf
und von iptables -L
ich verstehe es einfach nicht, alles geht ohne probleme, nur dovecot nicht.
os: debian etch
jede idee ist herzlich willkommen ...
.
.
.
EDIT Gelöst :
.
ok ich bin gerade darauf gestossen, daß fail2ban eventuell das Zeitformat im log nicht lesen kann, ich hoffe das ist es ...
nee das wars auch nich ganz, aber nu läufts, warum auch immer, nachdem ich jetzt das syslog benutze.
irgendwie kam fail2ban anscheinend nicht mit dem format des logfiles zurecht
diese config
Code:
cat filter.d/dovecot.conf
# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 331 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEXT
#
failregex = Disconnected:.*rip=<HOST>,
bei folgendem logeintrag
Code:
grep Disconnected:.*rip= /var/log/dovecot/dovecot.log
dovecot: 2008-04-18 17:08:54 Info: pop3-login: Disconnected: user=<xxx@yyy.zz>, method=PLAIN, rip=ww.xx.yy.zz, lip=ww.xx.yy.zz, TLS
will einfach nicht, habe schon ne menge verschiedener regexp probiert, aber diese sollte doch eigentlich greifen, oder ?
mit dieser config z.B :
failregex = FAILED LOGIN <HOST>
bei diesem logeintrag
Code:
grep FAILED.LOGIN /var/log/horde.log
Apr 18 19:48:23 HORDE [error] [imp] FAILED LOGIN xx.yy.zz.ww to localhost:993[imap/ssl/novalidate-cert] as whatever [on line 258 of "/var/www/domain.xx/horde/imp/lib/Auth/imp.php"]
funktioniert es.
hier noch ein auszug aus der jail.conf
Code:
[horde]
enabled = true
port = https
filter = horde
logpath = /var/log/horde.log
[dovecot]
enabled = true
port = pop3s
filter = dovecot
logpath = /var/log/dovecot/dovecot.log
und von iptables -L
Code:
iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-sasl tcp -- anywhere anywhere tcp dpt:smtp
fail2ban-apache tcp -- anywhere anywhere tcp dpt:www
fail2ban-dovecot tcp -- anywhere anywhere tcp dpt:pop3s
fail2ban-ssh tcp -- anywhere anywhere tcp dpt:ssh
fail2ban-proftpd tcp -- anywhere anywhere tcp dpt:ftp
fail2ban-postfix tcp -- anywhere anywhere tcp dpt:smtp
fail2ban-horde tcp -- anywhere anywhere tcp dpt:https
ich verstehe es einfach nicht, alles geht ohne probleme, nur dovecot nicht.
os: debian etch
jede idee ist herzlich willkommen ...
.
.
.
EDIT Gelöst :
.
ok ich bin gerade darauf gestossen, daß fail2ban eventuell das Zeitformat im log nicht lesen kann, ich hoffe das ist es ...
nee das wars auch nich ganz, aber nu läufts, warum auch immer, nachdem ich jetzt das syslog benutze.
irgendwie kam fail2ban anscheinend nicht mit dem format des logfiles zurecht
Zuletzt bearbeitet: