Re: Tentatives de login avec dovecot
Le 5 nov. 2015 à 13:09, Vincent Besse <vincent@ouhena.org> a écrit :
> On Thu, 5 Nov 2015 12:36:03 +0100
> andre_debian@numericable.fr wrote:
>
>> [...]
>>
>> J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h :
>> =======
>> authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin@free.org
>> rhost=192.162.68.120 : 12 Time(s)
>> authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test@free.org
>> rhost=192.162.68.120 : 11 Time(s)
>> ...
>> =======
>> 12 Times et 11 Times..., alors que maxretry = 3.
>>
>> André
>
> Avoir un fichier jail.local est une chose, encore faut-il que fail2ban
> sache reconnaître ces lignes et les traiter. Il faut donc avoir
> dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour
> qu' il ne soit pas lui non plus écrasé par une mise à jour) qui
> contienne une regex correspondant à ces logs et que dans la section
> [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de
> regarder le bon fichier de log.
Tu peux tester tes paramètres de configuration ainsi :
/usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local)
Par exemple ce que j'ai fait pour les tentatives de login sur le Web :
/usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origine…
> Vu la gueule des messages ça doit
> provenir de /var/log/auth.log mais c' est à confirmer.
D'accord avec Vincent :-)
>
Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose.
>
Reply to: