Op 2013-07-12 om 20:29 schreef Paul van der Vlis: > On 12-07-13 18:43, Rutger van Sleen wrote: > > Paul van der Vlis schreef op 12-07-2013 18:23: > >> Hallo, > >> > >> Heeft er hier iemand een correcte regex voor fail2ban met Dovecot (van > >> Wheezy)? > >> > >> De regexen in de wiki's van Dovecot en Fail2ban doen het niet goed, ze > >> zien een verzamel-regel als een poging, terwijl dat er vele kunnen zijn. > >> > >> Of moet ik de logging van Dovecot misschien wijzigen? > >> > >> Ik zie dit soort verzamel logregels: > >> ------ > >> Jul 12 18:07:19 vps0 dovecot: imap-login: Disconnected (auth failed, 22 > >> attempts in 172 secs): user=<info>, method=PLAIN, rip=82.95.148.152, > >> lip=1.2.3.4, TLS, session=<QylMqlLhVwBSX5SY> > >> ------ > > > > Niet om het een of ander, maar -ondanks diverse opmerkingen van menig > > mens- jouw vraagstellingen missen meestal iets en nu ook weer. [1] > Ik heb jou hier nog niets zien vragen. Als je geen vragen stelt dan mist > er ook nooit iets in die vraagstelling. [2] > > Je wilt dat er regels gematched worden, maar je geeft alleen de regel > > die je *niet* gematched wilt hebben. > > Dit is de normale logregel en hij verduidelijkt het probleem. > > Als hij gematched kan worden is dat uitstekend. Als hij niet gematched > kan worden hoor ik graag hoe anderen dit oplossen. > > > Daarnaast mis ik jouw huidige regex in het verhaal. > > Op het moment is dat deze: > failregex = .*(?:pop3-login|imap-login):.*(?:Authentication > failure|Aborted login \(auth failed|Aborted login \(tried to use > disabled|Disconnected \(auth failed).*rip$ Ook in deze regular expression zal dollar-teken einde van de regel betekenen. De tekenreeks 'rip' staat in de genoemde logregel niet op het einde ... > Maar wat heb je aan een regex die het niet doet? Nou, bijvoorbeeld om aan meer mensen te laten zien. > > Voor de volledigheid zou ik ook wel willen zien welke > > wiki-pagina's je bekeken hebt. > > Onder andere die van fail2ban en van Dovecot, zoals ik schreef: > http://wiki1.dovecot.org/HowTo/Fail2Ban > http://www.fail2ban.org/wiki/index.php/Dovecot > > > Die verzamel-logregels waar je het over hebt zijn natuurlijk niet zo > > handig om te gebruiken met fail2ban, die meer heeft aan enkele log > > regels. Dus ja, de logging van Dovecot aanpassen -mits mogelijk- zou > > niet misstaan. > > Tja, jammergenoeg is Dovecot niet zo mededeelzaam wat dat betreft. Zie: > http://wiki1.dovecot.org/Logging > > Uiteraard heb ik ook het logging configfile goed bekeken. > Ik heb auth_verbose op yes gezet, maar dat hielp niet. > } Zelf gebruik ik ruim 10 jaar Cyrus IMAP, Uiteraard heb ik daarvoor } uitstekende en geteste regex regels. [3] } Ik geef ze je graag. [4] > Maar nu moet ik fail2ban inrichten op een systeem wat ik niet zelf heb > ingericht met het voor mij niet zo bekende Dovecot. Vandaar dat ik vraag > of er hier iemand is die een correcte en geteste regex regel heeft. Of > weet hoe je de logging van Dovecot aanpast. Neem gerust de tijd om http://catb.org/esr/faqs/smart-questions.html te lezen. > Groetjes, > Paul. Groeten Geert Stappers Voetnoten [1] Constructief [2] NIET Constructief [3] NIET relevant [4] geen woorden, maar daden
Attachment:
signature.asc
Description: Digital signature