deluxe-stylez.de » fail2ban http://www.deluxe-stylez.de :: unix - brain required Fri, 20 Jan 2012 19:11:54 +0000 en hourly 1 http://wordpress.org/?v= Dovecot mit Fail2Ban sichern http://www.deluxe-stylez.de/2009/03/05/dovecot-mit-fail2ban-sichern http://www.deluxe-stylez.de/2009/03/05/dovecot-mit-fail2ban-sichern#comments Thu, 05 Mar 2009 11:18:16 +0000 BeNe In letzter Zeit bekomme ich auf den Server verschiedene POP3/IMAP Angriffe. Es sind immer wieder die gleichen IP-Adressen von denen es ausgeht. Jetzt habe ich auch Dovecot in Fail2Ban aufgenommen und erfolgreich die Angriffe geblockt. Hierzu müssen wir erstmal einen Filter mit der Regex anlegen. 
# vi /etc/fail2ban/filter.d/dovecot.conf
Inhalt des Filters: [Definition] 
# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching.
# Values:  TEXT
#
failregex = (?:imap|pop3)-login: Disconnected: user=<.*>, method=(?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5), rip=<HOST>, lip

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
Jetzt muss der Filter nur noch in der jail.conf aktiviert werden. 
# vi /etc/fail2ban/jail.local
Hierzu einfach folgenden Part an die Datei unten anhängen: 
[dovecot]
enabled  = true
port     = imap,imaps,pop3,pop3s
filter   = dovecot
logpath  = /var/log/mail.log
Jetzt noch ein reload von fail2ban um die Config neu zu laden: 
# fail2ban-client reload
Um zu testen ob der Filter passt und auch IP-Adressen sperren würde: 
# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf
]]>


In letzter Zeit bekomme ich auf den Server verschiedene POP3/IMAP Angriffe. Es sind immer wieder die gleichen IP-Adressen von denen es ausgeht. Jetzt habe ich auch Dovecot in Fail2Ban aufgenommen und erfolgreich die Angriffe geblockt.

Hierzu müssen wir erstmal einen Filter mit der Regex anlegen.

?View Code BASH
1

# vi /etc/fail2ban/filter.d/dovecot.conf

Inhalt des Filters:

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching.
# Values: TEXT
#
failregex = (?:imap|pop3)-login: Disconnected: user=<.*>, method=(?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5), rip=, lip

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Jetzt muss der Filter nur noch in der jail.conf aktiviert werden.

?View Code BASH
1

# vi /etc/fail2ban/jail.local

Hierzu einfach folgenden Part an die Datei unten anhängen:

?View Code BASH
1
2
3
4
5

[dovecot]
enabled  = true
port     = imap,imaps,pop3,pop3s
filter   = dovecot
logpath  = /var/log/mail.log

Jetzt noch ein reload von fail2ban um die Config neu zu laden:

?View Code BASH
1

<code># fail2ban-client reload</code>

Um zu testen ob der Filter passt und auch IP-Adressen sperren würde:

?View Code BASH
1

# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf
]]> http://www.deluxe-stylez.de/2009/03/05/dovecot-mit-fail2ban-sichern/feed 0