Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
2
respostas

criando uma cadeia alternativa no fail2ban para banimento manual

Eu tenho uma instância do fail2ban que funciona bem. Mas também gosto de ocasionalmente examinar os logs manualmente e tentar identificar os probes do sistema que estão trabalhando em torno das minhas definições padrão do f2b. O que eu est...
31.12.2017 / 21:48
1
resposta

Tenho milhares de tentativas de violar meu sistema neste log do logwatch?

Estou configurando meus sistemas para enviar relatórios por e-mail. Estou postando um relatório de log (veja abaixo). Este log mostra que existem milhares de tentativas de invasão. Perguntas: Eu tenho denyhosts e fail2ban instalado,...
16.09.2014 / 12:49
1
resposta

O teste Fail2ban-Regex sempre não informa nenhum host no grupo [closed]

Estou tentando criar um filtro usando regex. Esta é uma linha que eu quero filtrar por exemplo: Aug 30 11:07:38 *** postfix/smtpd[17969]: connect from vps10685425.123-vps.co.uk[46.32.239.160] Este é o meu RegEx atualmente: ^%(__prefix_...
30.08.2016 / 11:50
2
respostas

Como posso ensinar o fail2ban a detectar e bloquear ataques de uma sub-rede inteira?

Instalei corretamente fail2ban em minha máquina, ativando as regras para ssh , ssh-dos e recidive ; tudo funciona bem. Ultimamente, tenho visto um aumento nos padrões de ataques repetitivos de diferentes hosts formando as mesmas red...
26.01.2015 / 13:05
1
resposta

fail2ban permissão negada no script

Acabei de atualizar do RHEL 5 para o 6.5 e configure fail2ban novamente. Não consigo fazer com que minha ação personalizada funcione agora, supostamente por causa de um problema de permissão. Não quero saber o que estou fazendo de errado e co...
23.04.2014 / 14:35
0
respostas

Nagios - Ajuda para fazer o NRPE funcionar com check_fail2ban.sh

Estou tentando monitorar o fail2ban com o Nagios, então achei a seguinte verificação por meio de uma pesquisa no Google: link Estou tentando fazer com que o cheque funcione em um host remoto, mas não consigo que ele retorne resultados preci...
27.09.2016 / 19:13
0
respostas

qual é o regexp correto para o filtro mysql no fail2ban?

Eu uso o arquivo de filtro padrão /etc/fail2ban/filter.d/mysqld-auth.conf para o serviço fail2ban. Mas existem alguns erros no arquivo /var/log/fail2ban.log como: Found a match for '150815 10:42:54 [Warning] Access denied for user 'root...
19.08.2015 / 10:13
0
respostas

O servidor congela por causa do fail2ban

Ultimamente, tenho tido alguns problemas com o congelamento do meu servidor ou com problemas de rede (não sei dizer qual, neste momento). Estou executando o OpenSSH na porta 443 e parece que o filtro anti-SSDo DDoS do fail2ban é o culpado. Como...
25.08.2014 / 20:31
1
resposta

Quais são estas strings de% (…) no arquivo jail.conf do fail2ban, e como elas funcionam?

Ao configurar fail2ban , há o que parecem ser variáveis na parte superior do jail.conf que se parece com isso: mytime=300 . . . [ssh] bantime=%(mytime)s Ou nesta forma mais complicada como esta: action_ = %(banaction)s[name=%(__na...
18.09.2014 / 17:18
1
resposta

Fail2ban - enviar email com msmtp

Como configuro o fail2ban para enviar e-mails usando o msmtp? Eu tentei alterar a linha mta = sendmail para mta = msmtp e a linha action = %(action_)s para action = %(action_mwl)s . Acho que /etc/fail2ban/action.d/msmtp-whois-l...
04.10.2015 / 18:50