Re: fail2ban regex voor Dovecot

To: debian-user-dutch <debian-user-dutch@lists.debian.org>
Subject: Re: fail2ban regex voor Dovecot
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Fri, 12 Jul 2013 20:29:40 +0200
Message-id: <[🔎] 51E04B14.7060902@vandervlis.nl>
In-reply-to: <[🔎] 65da5b3119329c411d5af9a171a0677d@djslash.org>
References: <[🔎] 51E02D68.4030603@vandervlis.nl> <[🔎] 65da5b3119329c411d5af9a171a0677d@djslash.org>

Dag Rutger,

On 12-07-13 18:43, Rutger van Sleen wrote:
> 
> Dag Paul,
> 
> Paul van der Vlis schreef op 12-07-2013 18:23:
>> Hallo,
>>
>> Heeft er hier iemand een correcte regex voor fail2ban met Dovecot (van
>> Wheezy)?
>>
>> De regexen in de wiki's van Dovecot en Fail2ban doen het niet goed, ze
>> zien een verzamel-regel als een poging, terwijl dat er vele kunnen zijn.
>>
>> Of moet ik de logging van Dovecot misschien wijzigen?
>>
>> Ik zie dit soort verzamel logregels:
>> ------
>> Jul 12 18:07:19 vps0 dovecot: imap-login: Disconnected (auth failed, 22
>> attempts in 172 secs): user=<info>, method=PLAIN, rip=82.95.148.152,
>> lip=1.2.3.4, TLS, session=<QylMqlLhVwBSX5SY>
>> ------
> 
> Niet om het een of ander, maar -ondanks diverse opmerkingen van menig
> mens- jouw vraagstellingen missen meestal iets en nu ook weer.

Ik heb jou hier nog niets zien vragen. Als je geen vragen stelt dan mist
er ook nooit iets in die vraagstelling.

> Je wilt dat er regels gematched worden, maar je geeft alleen de regel
> die je *niet* gematched wilt hebben. 

Dit is de normale logregel en hij verduidelijkt het probleem.

Als hij gematched kan worden is dat uitstekend. Als hij niet gematched
kan worden hoor ik graag hoe anderen dit oplossen.

> Daarnaast mis ik jouw huidige regex in het verhaal. 

Op het moment is dat deze:
failregex = .*(?:pop3-login|imap-login):.*(?:Authentication
failure|Aborted login \(auth failed|Aborted login \(tried to use
disabled|Disconnected \(auth failed).*rip$

Maar wat heb je aan een regex die het niet doet?

> Voor de volledigheid zou ik ook wel willen zien welke
> wiki-pagina's je bekeken hebt.

Onder andere die van fail2ban en van Dovecot, zoals ik schreef:
http://wiki1.dovecot.org/HowTo/Fail2Ban
http://www.fail2ban.org/wiki/index.php/Dovecot

> Die verzamel-logregels waar je het over hebt zijn natuurlijk niet zo
> handig om te gebruiken met fail2ban, die meer heeft aan enkele log
> regels. Dus ja, de logging van Dovecot aanpassen -mits mogelijk- zou
> niet misstaan.

Tja, jammergenoeg is Dovecot niet zo mededeelzaam wat dat betreft. Zie:
http://wiki1.dovecot.org/Logging

Uiteraard heb ik ook het logging configfile goed bekeken.
Ik heb auth_verbose op yes gezet, maar dat hielp niet.

Zelf gebruik ik ruim 10 jaar Cyrus IMAP, Uiteraard heb ik daarvoor
uitstekende en geteste regex regels. Ik geef ze je graag.

Maar nu moet ik fail2ban inrichten op een systeem wat ik niet zelf heb
ingericht met het voor mij niet zo bekende Dovecot. Vandaar dat ik vraag
of er hier iemand is die een correcte en geteste regex regel heeft. Of
weet hoe je de logging van Dovecot aanpast.

Groetjes,
Paul.

-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl

Reply to:

Follow-Ups:
- Re: fail2ban regex voor Dovecot
  - From: Geert Stappers <stappers@stappers.nl>

References:
- fail2ban regex voor Dovecot
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: fail2ban regex voor Dovecot
  - From: Rutger van Sleen <djslash@djslash.org>

Prev by Date: Re: fail2ban regex voor Dovecot
Next by Date: Aptitude vraagje
Previous by thread: Re: fail2ban regex voor Dovecot
Next by thread: Re: fail2ban regex voor Dovecot
Index(es):
- Date
- Thread