Perguntas sobre 'fail2ban'

___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
2
respostas

O que as entradas iptables do log de fail2ban “retornaram NNN”? (Fail2ban não está banindo)

No meu fail2ban.log há algumas entradas cujo significado eu não entendo (e não encontrei procurando por aí) ... Eu tenho vários "jails", e eu criei um em particular que proíbe IP's quando eles tentam se conectar ao servidor web procurando por...
22.02.2011 / 20:09
1
resposta

Fail2ban perde algumas tentativas de relé

Eu tenho algumas tentativas de retransmissão como estas no meu mail.log (elas totalizam 281 tentativas de conexão em menos de 3 minutos): May 16 04:58:30 MyServer postfix/smtpd[18950]: connect from unknown[xx.yy.zzz.www] May 16 04:58:30 My...
17.05.2011 / 20:22
1
resposta

fail2ban quebrado após atualização dist

Minha instalação do fail2ban é interrompida após uma atualização dist. Eu não tenho idéia porque parou para o trabalho. O arquivo de log é ao longo de semanas 0 byte. Mesmo se eu puder ver nos logs do meu servidor que o cliente deve estar bloque...
14.05.2012 / 09:21
1
resposta

fail2ban: Criando uma ação customizada que fornece parâmetros para o script

Estou tendo alguns problemas para entender o fluxo de trabalho do fail2ban. Meu objetivo é a seguinte ação: nome: pamysql usado para: comando exec com <name> , <failures> , <ip> , ... como parâmetros Eu criei...
17.03.2014 / 17:02
1
resposta

O que é 'encontrado' no arquivo de log do Fail2Ban?

Eu tenho várias instâncias como as seguintes em /var/log/fail2ban.log: 2015-12-27 14:31:21,949 fail2ban.filter [1020]: INFO [sshd] Found ###.###.###.### (onde # substitui uma diversidade de endereços IP.) Qual é exatamente o...
28.12.2015 / 19:48
1
resposta

fail2ban proibição multiplicar hosts recidivos

Estamos usando o fail2ban em nossos servidores voltados para a Web para bloquear endereços IP que falham repetidamente na autenticação adequada. Nosso tempo normal é de uma hora; Os IPs que já foram banidos várias vezes são bloqueados por um dia...
24.09.2015 / 17:38
0
respostas

Que layout de pilha do docker para serviços nginx, ufw, fail2ban e privados

Eu tenho um servidor unraid executando alguns serviços dockerized (por exemplo, emby & seafile ) que oferecem interfaces web que agora precisa ser aberto para ser acessível de fora da LAN. Nunca abrimos nenhum serviço ao mundo e agora...
23.12.2016 / 20:37
1
resposta

fail2ban não captura ataque de força bruta de senha SMTP

Os spammers estão executando ataques de adivinhação de senha de força bruta no meu servidor (postfix no Debian). Eles já adivinharam duas senhas de usuários e começaram a enviar spam usando o meu servidor. Senhas alteradas e ataques atenuados (p...
02.03.2018 / 09:20
1
resposta

fail2ban tem maxretry de 3, mas vejo falhas de autenticação repetidas 5 vezes

Estou executando o Ubuntu 16.04 com o ssh habilitado pelo ufw e configurei o fail2ban para habilitar as cadeias [sshd] e [sshd-ddos] com um maxretry de 3 (ou seja, eu quero banir todos os ips que não autenticam 3 vezes) . Quando olho para o log...
17.02.2017 / 20:17
2
respostas

Desligar a máquina após tentativas de login malsucedidas do acesso físico

Gostaria de saber se existem algumas técnicas comuns para desligar seu computador após várias tentativas de login da máquina localmente (a partir do login do terminal ou do lightdm, por exemplo). Para SSH ou qualquer login remoto, eu usaria a...
03.10.2016 / 03:20