Re: Fail2ban

To: debian-user-french@lists.debian.org
Subject: Re: Fail2ban
From: andre_debian@numericable.fr
Date: Tue, 1 Dec 2015 15:56:24 +0100
Message-id: <[🔎] 201512011556.24127.andre_debian@numericable.fr>
In-reply-to: <[🔎] 1D8BF9D8-EE8B-4F3D-9E8F-8EF0A98BCC21@worldonline.fr>
References: <[🔎] 201512011417.43699.andre_debian@numericable.fr> <[🔎] 1D8BF9D8-EE8B-4F3D-9E8F-8EF0A98BCC21@worldonline.fr>

On Tuesday 01 December 2015 14:28:18 Philippe Gras wrote:
> Le 1 déc. 2015 à 14:17, andre_debian@numericable.fr a écrit :
> > J'avais lancé un help sur ce sujet et modifié
> > jail.conf et fail.local
> > Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
> > (tentatives de connexions sur des comptes mail) :
> > "authentication failure; logname= uid=0 euid=0 tty=dovecot 
> > ruser=pascal.b@<domain.net> rhost=212.83.40.56 : 66 Times"
> > Une personne qui n'est pas le propriétaire du mail,
> > tente de se connecter 66 fois alors que le "maxretry=3"
> > Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
> > (je l'avais bien relancé).

> Cette adresse IP est-elle rapportée dans Logwatch d'un jour à l'autre ? :

Les IP intrusives changent d'un jour à l'autre.

> La période de ban peut être augmentée (> 1 mois c'est bien) :

Quelle est la ligne à ajouter/ configurer dans les fichiers jail.conf 
et .local ?

> Sinon, les requêtes peuvent avoir été envoyées en même temps, et en
> masse, c'est une technique utilisée pour passer les filtres fail2ban :

Comment contourner la technique des ? :
"requêtes envoyées en même temps et en masse".

André

Reply to:

Follow-Ups:
- Re: Fail2ban
  - From: Philippe Gras <ph.gras@worldonline.fr>

References:
- Fail2ban
  - From: andre_debian@numericable.fr
- Re: Fail2ban
  - From: Philippe Gras <ph.gras@worldonline.fr>

Prev by Date: Re: Fail2ban
Next by Date: Re: Fail2ban
Previous by thread: Re: Fail2ban
Next by thread: Re: Fail2ban
Index(es):
- Date
- Thread