Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

Fail2Ban continua proibindo a reinicialização

Estou enfrentando um problema confuso com o Fail2Ban. Eu corro uma versão mais antiga que, após o reinício do Daemon Fail2Ban, desativa todos os endereços IP. Agora tenho a versão 0.9.3 do Fail2Ban instalada no Centos 7. Quando reinicio o...
19.09.2016 / 22:13
1
resposta

Fail2ban compatibilidade debian debian jessie systemd

O pacote deb2 jessie do Fail2ban não está funcionando: No novo debian jessie com openssh-server ( testado no container docker ): root@2b29327677c8:/# cat /etc/debian_version 8.3 root@2b29327677c8:/# apt-get install fail2ban root@2b2932...
02.04.2016 / 16:23
1
resposta

Fail2ban me bane após enviar e-mails de sucesso

Prezado, estou usando o Fail2Ban v0.8.13 no sistema CentOS 6 para proteger meus servidores Postfix. Basicamente funciona assim depois de 5 tentativas erradas de login no SMTP eu fui banido. Fail2Ban Jail conf [sasl-iptables] enabled = t...
08.03.2016 / 23:42
2
respostas

Fail2Ban regex está errado?

Atualmente, estou configurando um filtro para filtrar ataques POST em um arquivo chamado xmlrpc.php . Solicitações que devem ser monitoradas no acesso de log se parecem com: 1.99.437.201 - - [01/Feb/2016:01:57:14 +0000] "POST /xmlrpc.php HT...
01.02.2016 / 03:10
1
resposta

Servidor CentOS bloqueando o próprio tráfego de saída

Eu tenho um servidor (CentOS 6.7) rodando, o que me causa algumas dores de cabeça. Há alguns meses, o site em execução no servidor estava indisponível. Depois de algumas escavações, pareceu que o Iptables estava bloqueando o próprio tráfego d...
15.01.2016 / 12:27
1
resposta

Fail2Ban bloqueia ip na lista ignoreip

O Fail2ban continua a bloquear um ip mesmo depois de ter colocado na lista de permissões o ip. Eu tenho em /etc/fail2ban/jail.conf uma linha como a seguinte. ignoreip = 53.45.114.103 No entanto, o fail2ban continua a bloquear ess...
07.01.2016 / 14:52
1
resposta

fail2ban para o log de acesso do apache

Eu tentei todas as abordagens que conheço para obter o host do log de acesso do apache, mas nenhum funcionou minha abordagem básica de testes é a seguinte: fail2ban-regex '87.97.244.57 - - [05/Nov/2015:12:46:24 -0500] "GET /index.php/?a=30...
06.11.2015 / 20:56
2
respostas

Use o Fail2ban para bloquear tentativas de senha dovecot com proxy

Pesquisei muito sobre isso, mas não consigo encontrar uma solução. A maneira mais fácil de explicar isso é que eu costumava ter apenas 1 servidor de e-mail, agora tenho 2. O primeiro servidor de e-mail aceita apenas conexões SSL e encaminha n...
30.11.2014 / 04:54
1
resposta

Ocorreu um problema com o Fail2Ban UFW Portscan Filter

Estou tentando criar um filtro para o fail2ban que reconhece as verificações de porta nos logs do UFW. Confirmei que minha ação de proibição está funcionando corretamente em outros filtros e estou tendo problemas para criar a expressão correta...
19.09.2014 / 03:17
1
resposta

fail2ban bots defeituosos regex de log de acesso do apache

Tentando bloquear alguns bots defeituosos usando o fail2ban lendo o log de acesso do Apache e configurando o regex correto. A linha que eu quero combinar no log de acesso é: 5.10.83.65 - - [18/Mar/2014:09:06:38 +0400] "GET /catalog/product_co...
20.03.2014 / 08:09