Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
0
respostas

Como detectar tentativas SMTP AUTH em Fail2Ban?

Eu tenho uma cadeia Fail2Ban que monitora autenticações SASL com falha no meu servidor SMTP Postfix. Quando isso ocorre, /var/log/mail.log contém essas três linhas: postfix/smtpd[32591]: connect from unknown[x.x.x.x] postfix/smtpd[32591]:...
03.01.2016 / 16:12
2
respostas

Como posso atualizar o Fail2Ban no Ubuntu 12.04.5 LTS para instalar o filtro “recidive”?

Pergunta básica. Como posso instalar uma versão atualizada do Fail2Ban no meu Ubuntu 12.04.5 LTS (Precise Pangolin) para que eu possa ter um conjunto de filtros recidive . O Ubuntu 12.04.5 LTS instala o Fail2Ban 0.8.6 e eu preciso do Fail2B...
25.10.2015 / 06:01
0
respostas

Bloqueio de bot por padrão multi url com fail2ban

Estou vendo um padrão de vários URLs semelhante às seguintes linhas nos registros nginx recentemente. GET / GET /somepath/ GET /otherpath/ GET / GET /somepath/ GET /otherpath/ ... Já estou usando o fail2ban para determinados URLs, mas nã...
14.10.2014 / 15:43
0
respostas

“Centralized” fail2ban apenas proibindo ataques ao host local

Estou tentando executar o fail2ban no servidor rsyslog que coleta logs de autenticação do restante de nossos servidores. Estou interessado em fazer as notificações funcionarem como um primeiro passo. Meu problema é que o fail2ban é acionado a...
27.03.2015 / 11:28
0
respostas

fail2ban falha ao bloquear de auth.log com directadmin [closed]

Estou usando o directadmin em um servidor Ubuntu. Eu instalei recentemente o Fail2Ban. mas eu ainda estou recebendo e-mail "ataque de força bruta" do directadmin. meu jail.conf (somente o jail auth.log!): [ssh] enabled = true port = ssh...
12.03.2014 / 11:31
1
resposta

fail2ban jail não está funcionando corretamente

Estou tentando bloquear solicitações de script não disponíveis para o nginx com o fail2ban. # Noscript filter /etc/fail2ban/filter.d/nginx-noscript.conf: # # Block IPs trying to execute scripts such as .php, .pl, .exe and other funny scripts....
16.12.2013 / 23:12
0
respostas

Fail2ban no Ubuntu 11.10 não proíbe o filtro / cadeia

Um aplicativo que estou executando registra logins incorretos como este: Tue, 19 Mar 13 20:46:03 +0000 failed login from iphere ! Tue, 19 Mar 13 20:46:03 +0000 failed login from iphere ! Tue, 19 Mar 13 20:46:03 +0000 failed login from iphere...
20.03.2013 / 07:41
1
resposta

Como as alterações em /etc/pam.d/common-session-noninteractive afetam o fail2ban e possivelmente outros programas / serviços?

Fail2Ban no Ubuntu 10,04 Arquivos de configuração /etc/fail2ban/jail.local [DEFAULT] ignoreip = 127.0.0.1 bantime = 10 # made for test purposes maxretry = 3 backend = polling destemail = [email protected] banaction = iptables-mu...
23.05.2013 / 00:06
1
resposta

Vários endereços IP em fail2ban

Acabei de receber uma enxurrada de ataques pop3-login em um dos meus servidores. Fiquei surpreso com o fato de o fail2ban não tê-los impedido, então percebi que o serviço está escutando em vários endereços IP, e o invasor estava passando por cim...
26.07.2012 / 22:03
4
respostas

Protegendo debain com fail2ban ou iptables

Estou procurando proteger meu servidor. Inicialmente, meu primeiro pensamento foi usar iptables , mas também aprendi sobre Fail2ban . Eu entendo que o Fail2ban é baseado no iptables, mas tem as vantagens de ser capaz de banir IPs depois de vári...
06.06.2014 / 10:43