Re: Fail2ban
On Tuesday 01 December 2015 14:28:18 Philippe Gras wrote:
> Le 1 déc. 2015 à 14:17, andre_debian@numericable.fr a écrit :
> > J'avais lancé un help sur ce sujet et modifié
> > jail.conf et fail.local
> > Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
> > (tentatives de connexions sur des comptes mail) :
> > "authentication failure; logname= uid=0 euid=0 tty=dovecot
> > ruser=pascal.b@<domain.net> rhost=212.83.40.56 : 66 Times"
> > Une personne qui n'est pas le propriétaire du mail,
> > tente de se connecter 66 fois alors que le "maxretry=3"
> > Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
> > (je l'avais bien relancé).
> Cette adresse IP est-elle rapportée dans Logwatch d'un jour à l'autre ? :
Les IP intrusives changent d'un jour à l'autre.
> La période de ban peut être augmentée (> 1 mois c'est bien) :
Quelle est la ligne à ajouter/ configurer dans les fichiers jail.conf
et .local ?
> Sinon, les requêtes peuvent avoir été envoyées en même temps, et en
> masse, c'est une technique utilisée pour passer les filtres fail2ban :
Comment contourner la technique des ? :
"requêtes envoyées en même temps et en masse".
André
Reply to:
- References:
- Fail2ban
- From: andre_debian@numericable.fr
- Re: Fail2ban
- From: Philippe Gras <ph.gras@worldonline.fr>