M
Muling
Doppel-As
Hi,
Ich habe in letzter Zeit häufig Brute-Force Atacken auf meinen dovecot pop3/imap Server registriert. Daher wollte ich ihn mit fail2ban absichern, da ich bei anderen Diensten sehr gute erfahrungen gemacht habe.
Nur lieder kann ich keinen Failregex finden, der passt. Die fehlerhaften Login-Versuche kann man in verschiedenen Logs finden:
/var/log/auth.log
/var/log/mail.info
/var/log/mail.log
Was könnte ich in /etc/fail2ban/filter.d/dovecot.conf schreiben? Ich habe verschiedene Regex'es ausprobiert doch hat keiner gegriffen. Ich kann auch nicht wirklich viel Doku zu fail2ban finden.
Ich wäre sehr dankbar wenn ihr euch das mal ansehen könntet.
Gruß, Muling
Ich habe in letzter Zeit häufig Brute-Force Atacken auf meinen dovecot pop3/imap Server registriert. Daher wollte ich ihn mit fail2ban absichern, da ich bei anderen Diensten sehr gute erfahrungen gemacht habe.
Nur lieder kann ich keinen Failregex finden, der passt. Die fehlerhaften Login-Versuche kann man in verschiedenen Logs finden:
/var/log/auth.log
Code:
Jan 2 20:36:24 cl-t116-190cl dovecot-auth: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=96.57.118.132
Jan 2 20:36:24 cl-t116-190cl dovecot-auth: (pam_unix) check pass; user unknown
Code:
Jan 2 20:41:23 cl-t116-190cl dovecot: auth(default): shadow(oscar,96.57.118.132): unknown user
Jan 2 20:41:24 cl-t116-190cl dovecot: pop3-login: Aborted login: user=<oscar>, method=PLAIN, rip=96.57.118.132, lip=70.38.22.193
Jan 2 20:41:26 cl-t116-190cl dovecot: auth(default): pam(oscar,96.57.118.132): pam_authenticate() failed: User not known to the underlying authentication module
Code:
Jan 2 20:43:50 cl-t116-190cl dovecot: auth(default): pam(owen,96.57.118.132): pam_authenticate() failed: User not known to the underlying authentication module
Jan 2 20:43:50 cl-t116-190cl dovecot: auth(default): shadow(owen,96.57.118.132): unknown user
Was könnte ich in /etc/fail2ban/filter.d/dovecot.conf schreiben? Ich habe verschiedene Regex'es ausprobiert doch hat keiner gegriffen. Ich kann auch nicht wirklich viel Doku zu fail2ban finden.
Ich wäre sehr dankbar wenn ihr euch das mal ansehen könntet.
Gruß, Muling