[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: fail2ban regex voor Dovecot

On 13-07-13 07:47, Geert Stappers wrote:
> Op 2013-07-12 om 20:29 schreef Paul van der Vlis:
>> On 12-07-13 18:43, Rutger van Sleen wrote:
>>> Paul van der Vlis schreef op 12-07-2013 18:23:
>>>> Hallo,
>>>> 
>>>> Heeft er hier iemand een correcte regex voor fail2ban met
>>>> Dovecot (van Wheezy)?
>>>> 
>>>> De regexen in de wiki's van Dovecot en Fail2ban doen het niet
>>>> goed, ze zien een verzamel-regel als een poging, terwijl dat
>>>> er vele kunnen zijn.
>>>> 
>>>> Of moet ik de logging van Dovecot misschien wijzigen?
>>>> 
>>>> Ik zie dit soort verzamel logregels: ------ Jul 12 18:07:19
>>>> vps0 dovecot: imap-login: Disconnected (auth failed, 22 
>>>> attempts in 172 secs): user=<info>, method=PLAIN,
>>>> rip=82.95.148.152, lip=1.2.3.4, TLS,
>>>> session=<QylMqlLhVwBSX5SY> ------
>>> 
>>> Niet om het een of ander, maar -ondanks diverse opmerkingen van
>>> menig mens- jouw vraagstellingen missen meestal iets en nu ook
>>> weer.
> 
> [1]

Ik vond zijn punten niet constructief. Vragen terug stellen doe je vaak
als je het zelf niet weet, ik betrap me er zelf ook wel eens op.

Op mijn vraag is simpel antwoord te geven door iemand met ervaring met
fail2ban en Dovecot. Rutger wil misschien wel helpen, maar heeft deze
ervaring niet verwacht ik, anders had hij wel gewoon de regex gepost, of
verteld hoe hij de logging veranderd.

>> Ik heb jou hier nog niets zien vragen. Als je geen vragen stelt
>> dan mist er ook nooit iets in die vraagstelling.
> 
> [2]

Iedereen tevreden stellen bij het stellen van vragen is volgens mij niet
mogelijk.

Zo hou ik bijvoorbeeld van korte vragen, mensen die met een lang verhaal
komen over wat ze wel niet allemaal geprobeerd hebben, krijgen van mij
meestal geen antwoord.

Om een mailinglist levendig te houden zijn ook vragen nodig. Als je erg
hoge eisen gaat stellen aan de vorm van vragen, heeft niemand nog zin om
iets te vragen.

Je kunt me verwijten dat ik uit luiheid, of om de kosten voor de klant
niet te laten oplopen, soms wat makkelijk vragen stel. Maar volgens mij
zijn mijn vragen meestal behoorlijk in orde. Ik heb ook veel ervaring in
het stellen van vragen.

>>> Je wilt dat er regels gematched worden, maar je geeft alleen de
>>> regel die je *niet* gematched wilt hebben.
>> 
>> Dit is de normale logregel en hij verduidelijkt het probleem.
>> 
>> Als hij gematched kan worden is dat uitstekend. Als hij niet
>> gematched kan worden hoor ik graag hoe anderen dit oplossen.
>> 
>>> Daarnaast mis ik jouw huidige regex in het verhaal.
>> 
>> Op het moment is dat deze: failregex =
>> .*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted
>> login \(auth failed|Aborted login \(tried to use 
>> disabled|Disconnected \(auth failed).*rip$
> 
> Ook in deze regular expression zal dollar-teken einde van de regel
> betekenen.

Excuus, er was een stuk van de regex afgevallen, dit is de correcte:

failregex = .*(?:pop3-login|imap-login):.*(?:Authentication
failure|Aborted login \(auth failed|Aborted login \(tried to use
disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

> De tekenreeks 'rip' staat in de genoemde logregel niet op het einde
> ...

Je hebt helemaal gelijk.

>> Maar wat heb je aan een regex die het niet doet?
> 
> Nou, bijvoorbeeld om aan meer mensen te laten zien.

Ik was niet zozeer op zoek naar mensen die wilden puzzelen op een
correcte regex. Ik dacht dat er wel iemand zou zijn die wist hoe het
moet. Dovecot wordt immers reuze veel gebruikt.

>>> Voor de volledigheid zou ik ook wel willen zien welke 
>>> wiki-pagina's je bekeken hebt.
>> 
>> Onder andere die van fail2ban en van Dovecot, zoals ik schreef: 
>> http://wiki1.dovecot.org/HowTo/Fail2Ban 
>> http://www.fail2ban.org/wiki/index.php/Dovecot
>> 
>>> Die verzamel-logregels waar je het over hebt zijn natuurlijk
>>> niet zo handig om te gebruiken met fail2ban, die meer heeft aan
>>> enkele log regels. Dus ja, de logging van Dovecot aanpassen
>>> -mits mogelijk- zou niet misstaan.
>> 
>> Tja, jammergenoeg is Dovecot niet zo mededeelzaam wat dat
>> betreft. Zie: http://wiki1.dovecot.org/Logging
>> 
>> Uiteraard heb ik ook het logging configfile goed bekeken. Ik heb
>> auth_verbose op yes gezet, maar dat hielp niet.
>> 
> } Zelf gebruik ik ruim 10 jaar Cyrus IMAP, Uiteraard heb ik
> daarvoor } uitstekende en geteste regex regels.
> 
> [3]

Wel relevant. Als hij het weet kan hij ook gewoon antwoorden. Net als ik
dat doe.

> } Ik geef ze je graag.
> 
> [4]

Waarom daden als het niet relevant is?

failregex = : badlogin: .*\[<HOST>\] plaintext .*SASL\(-13\):
authentication failure: checkpass failed$
            : badlogin: .*\[<HOST>\] LOGIN \[SASL\(-13\): authentication
failure: checkpass failed\]$
            : badlogin: .*\[<HOST>\] (?:CRAM-MD5|NTLM) \[SASL\(-13\):
authentication failure: incorrect (?:digest|NTLM) response\]$
            : badlogin: .*\[<HOST>\] DIGEST-MD5 \[SASL\(-13\):
authentication failure: client response doesn't match what we generated\]$

Getest met de Squeeze, nog niet met Wheezy.

>> Maar nu moet ik fail2ban inrichten op een systeem wat ik niet
>> zelf heb ingericht met het voor mij niet zo bekende Dovecot.
>> Vandaar dat ik vraag of er hier iemand is die een correcte en
>> geteste regex regel heeft. Of weet hoe je de logging van Dovecot
>> aanpast.
> 
> Neem gerust de tijd om
> http://catb.org/esr/faqs/smart-questions.html te lezen.

Nee, dank je, volgens mij is er gewoon weinig mis met mijn vragen.

Groetjes,
Paul.


>> Groetjes, Paul.
> 
> 
> Groeten Geert Stappers
> 
> Voetnoten [1] Constructief [2] NIET Constructief [3] NIET relevant 
> [4] geen woorden, maar daden
> 





-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Reply to: