Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

Como interpretar logs de postfix no Ubuntu

Acabei de instalar o postfix no meu servidor que executa o Ubuntu 14.04.1 LTS. Estou um pouco confuso sobre como devo interpretar os logs do postfix localizados em /var/log/mail.log . Em primeiro lugar, uma das razões pelas quais eu instalei...
07.02.2015 / 20:15
1
resposta

Como adicionar um jail para IPs específicos no fail2ban?

Eu gostaria de adicionar uma lista específica de IPs para os quais gostaria de receber um email do Fail2ban depois que eles fizessem algumas solicitações "GET". O padrão a ser procurado nos logs de acesso do apache é ^ 1.2.3.4 -. * $, mas fai...
18.06.2013 / 17:05
3
respostas

Configurando o fail2ban para banir tentativas de login com falha no phpMyAdmin

Estamos usando fail2ban para bloquear tentativas ssh com falha. Eu gostaria de configurar a mesma coisa para o phpMyAdmin também. Como phpMyAdmin não registra tentativas de autenticação em um arquivo (que eu conheço), não tenho certe...
04.10.2012 / 01:50
1
resposta

Fail2Ban adiciona regras de iptable mas elas não estão funcionando?

O Fail2Ban acabou de bloquear meu IP para 3 tentativas de SSH. Ele adicionou a regra iptables e eu posso vê-la usando o comando "sudo iptables -L -n". Mas ainda posso acessar o site e fazer o login através do SSH! Qual pode ser o problema? É por...
29.08.2012 / 09:00
1
resposta

regex fail2ban correspondente nos sites de teste, mas não no próprio fail2ban

Olá, estou tentando corresponder à seguinte linha de registro: E/Sun, 04 Mar 2018 21:40:32 +0100: Error logging in from RemoteIP: 1.2.3.4 E depois de muitas horas eu finalmente consegui um regex que funciona no debuggerex, regextester,...
04.03.2018 / 22:44
1
resposta

Ativando o fail2ban 0.10 no ipv6

Acabei de atualizar para o fail2ban versão 0.10 no debian via apt-get. Eu vejo coisas assim em 'iptables -n -L': Chain f2b-apache-auth (1 references) ... Chain f2b-pam-generic (1 references) ... mas não vejo nada similar na saída de 'i...
26.02.2018 / 14:22
1
resposta

fail2ban ssh tempo de espera de login após falha

Isto é o que eu quero fazer: Se você fizer login com o ssh e falhar 3 vezes, terá que esperar 30 segundos para tentar novamente. 4 vezes = 60 seg 5 vezes = 300 s ... 10 vezes = banido Eu pesquisei meu desejo no Google e não achei...
22.11.2017 / 16:27
1
resposta

Fail2ban preso, mas IP ainda acessando o servidor

Eu tenho um servidor rodando um monte de sites WordPress, e cada um desses sites recusa logins de IP's depois de vários logins com falha. As etapas são as seguintes: 3 logins com falha de um IP = WP recusam logins desse IP por 10 minutos (bl...
30.11.2017 / 14:51
1
resposta

O fail2ban e o apf + bfd se complementam?

Pesquisando sobre as diferenças entre o Advanced Firewall Policy (APF) junto com o Brute Force Detection System (BFD) e o Fail2Ban, não consegui encontrar muita coisa. Eles usam métodos diferentes, ao mesmo tempo, as duas soluções essencialmente...
28.08.2017 / 07:02
2
respostas

O regex Fail2ban não corresponde ao meu log

Estou tentando criar um failregex no Fail2ban para encontrar essas linhas (e endereços IP), mas não consigo escrevê-lo. As minhas linhas de registro são como estas: [Thu Sep 22 10:28:32.215159 2016] [:error] [pid 1616] [client 83.143.2...
22.09.2016 / 19:25