Re: 26723 attaques... Pb entre Fail2ban & Lenny

[Pierre <phdb2@laposte.net>]

Merci beaucoup pour cette réponse rapide.
J'ai fait la modif et relancé fail2ban.
Sinon, en effet, on peut être certain que fail2ban scrute bien les logs 
de proftpd,
puisque pendant un court laps de temps j'ai renommé le proftpd.log, et 
immédiatement
il y avait des injures dans le fail2ban.log

Il y a quand même un truc qui me surprend : Effectivement la quatrième 
expression régulière n'était pas conforme,
mais néanmoins, la première semblait bien l'être, et par conséquent les 
conditions de bannissement étaient remplis
(3 fois "no such user found from")...

Merci encore, et on va bien voir...
> La première semble correcte en effet (ton proftpd identifie donc a 
> priori bien les violations).
> Par contre pour la quatrième expression :
> \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded$
>
> Le "$" signifiant "fin de ligne" ne correspond pas avec ta ligne dans 
> les LOG qui est :
> [...] Maximum login attempts (3) exceeded, connection refused
>
> Donc, essaies en remplacant cette dernière expression par :
> \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded, 
> connection refused$
>
>
> Ça devrait rouler... (I Hope!)
> (Je ne sais pas si ces expressions sont lues à la volée ou s'il te 
> faudra faire un "restart" de ton proftpd)