fail2ban mit Cyrus und Postfix/SASL
Hallo Liste, um mich nicht weiter von den Skript-Blagen nerven zu lassen setze ich auf meinem Server mittlerweile fail2ban ein. Im fail2ban log behauptet dieses auch schön, dass es nervende IP-Adressen gebannt hätte. Allerdings finde ich in iptables danach keinen entsprechenden Eintrag dazu. Dort sind zwar die fail2ban chains eingetragen aber dann nicht die angeblich gebannten IP- Adressen - und im Falle von Postfix wurde auch lustig weiter probiert einzudringen. Die gebannten IP-Adressen müssten doch eigentlich auch in den iptables auftauchen, oder nicht? Oder liege ich falsch und fail2ban speichert diese an anderer Stelle? Hat jemand Erfahrung damit? Hier meine fail2ban-Konfiguration: [cyrus-pop3imap] enabled = true filter = cyrus-imap action = iptables-multiport[name=cyrus-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp] logpath = /var/log/messages [sasl-iptables] enabled = true filter = sasl backend = polling action = iptables[name=sasl, port=smtp, protocol=tcp] logpath = /var/log/mail Filter und Actions nutze ich die im Paket enthaltenen ohne sie irgendwie verändert zu haben. Oder muss dort noch etwas angepasst werden? Beste Grüße Buschmann -- Das Gesetz hat zum Schneckengang verdorben, was Adlerflug geworden wäre. (Friedrich Schiller - Die Räuber) Und der Buschfunk spielt gerade "Blissfully Ignorant" von "Satanic Surfers". www.buschmann23.de GPG-Key: 0x720AADE0
Hallo Matthias, Am Freitag 26 April 2013 schrieb Matthias Fehring:
um mich nicht weiter von den Skript-Blagen nerven zu lassen setze ich auf meinem Server mittlerweile fail2ban ein. Im fail2ban log behauptet dieses auch schön, dass es nervende IP-Adressen gebannt hätte. Allerdings finde ich in iptables danach keinen entsprechenden Eintrag dazu.
[...]
Hat jemand Erfahrung damit?
[...]
Filter und Actions nutze ich die im Paket enthaltenen ohne sie irgendwie verändert zu haben. Oder muss dort noch etwas angepasst werden?
Wäre mein Tipp. Ich verwende fail2ban auf einem Debian-Server und da hatte ich den Fall, dass mein saslauthd nicht durch fail2ban geschützt wurde. Geholfen hat dann ein tieferer Blick in /etc/fail2ban/filter.d und parallel dazu in die /var/log/passendes-log. Nicht richtig war die Regex, die filtern sollte. War ein Haufen Try-and-Error (ich kann halt kein Regex) und Geforsche im Internet, bis ich einen passenden String hatte. Ein Konfigurationsfehler (meistens nur Schreibfehler) in der jail.conf kann ebenfalls zu Fehlfunktionen oder Nullfunktion führen. Später habe ich dann auch an der Empfindlichkeit geschraubt, damit fail2ban schneller anschlägt. Alles wird immer noch nicht abgewehrt, aber gegen so ein Botnet mit vielen verschiedenen IPs kann fail2ban nichts ausrichten. Probier mal, ob die Regex stimmen kann. (Ich lasse mir von logwatch berichten, ob es Bans gegeben hat). Helga -- ## Technik: [http://de.opensuse.org] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 26. April 2013, 10:54:59 schrieb Helga Fischer:
Hallo Matthias,
Am Freitag 26 April 2013 schrieb Matthias Fehring:
um mich nicht weiter von den Skript-Blagen nerven zu lassen setze ich auf meinem Server mittlerweile fail2ban ein. Im fail2ban log behauptet dieses auch schön, dass es nervende IP-Adressen gebannt hätte. Allerdings finde ich in iptables danach keinen entsprechenden Eintrag dazu.
[...]
Hat jemand Erfahrung damit?
[...]
Filter und Actions nutze ich die im Paket enthaltenen ohne sie irgendwie verändert zu haben. Oder muss dort noch etwas angepasst werden?
Wäre mein Tipp. Ich verwende fail2ban auf einem Debian-Server und da hatte ich den Fall, dass mein saslauthd nicht durch fail2ban geschützt wurde.
[...]
Probier mal, ob die Regex stimmen kann.
(Ich lasse mir von logwatch berichten, ob es Bans gegeben hat).
Also, die richtige IP, also die zu bannende, wird schon herausgefunden. Der reguläre Ausdruck passt also. Fail2ban vermerkt in seinem Protokoll dann auch, dass es diese IP nun gebannt hätte. Was ich vermisse ist dann einen Eintrag für eben diese IP an passender Stelle in iptables (bspw. mit iptables -L -n). Beste Grüße Buschmann -- Das Gesetz hat zum Schneckengang verdorben, was Adlerflug geworden wäre. (Friedrich Schiller - Die Räuber) Und der Buschfunk spielt gerade "Fly" von "Blind Guardian". www.buschmann23.de GPG-Key: 0x720AADE0
Am Freitag 26 April 2013 schrieb Matthias Fehring: [...]
Also, die richtige IP, also die zu bannende, wird schon herausgefunden. Der reguläre Ausdruck passt also. Fail2ban vermerkt in seinem Protokoll dann auch, dass es diese IP nun gebannt hätte. Was ich vermisse ist dann einen Eintrag für eben diese IP an passender Stelle in iptables (bspw. mit iptables -L -n).
Ich habe die, soweit ich weiß, auch noch nie gesehen. Das habe ich aber auch noch nie so ernsthaft verfolgt und war mit dem Logwatch-Auszug zufrieden. Meine Experimente, den Firewall-Output mitzuloggen, legten leider den Server lahm. Ich hätte ja schon gerne gewusst, was da nun so an der Front abgeht. (Bei meinem alten PC, den ich mal eine Weile als Router verwendet habe, ging das Loggen und Beobachten des Firewall-Output problemlos). Helga -- ## Technik: [http://de.opensuse.org] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 26. April 2013, 12:01:09 schrieb Helga Fischer:
Am Freitag 26 April 2013 schrieb Matthias Fehring:
[...]
Also, die richtige IP, also die zu bannende, wird schon herausgefunden. Der reguläre Ausdruck passt also. Fail2ban vermerkt in seinem Protokoll dann auch, dass es diese IP nun gebannt hätte. Was ich vermisse ist dann einen Eintrag für eben diese IP an passender Stelle in iptables (bspw. mit iptables -L -n).
Ich habe die, soweit ich weiß, auch noch nie gesehen. Das habe ich aber auch noch nie so ernsthaft verfolgt und war mit dem Logwatch-Auszug zufrieden.
Meine Experimente, den Firewall-Output mitzuloggen, legten leider den Server lahm. Ich hätte ja schon gerne gewusst, was da nun so an der Front abgeht. (Bei meinem alten PC, den ich mal eine Weile als Router verwendet habe, ging das Loggen und Beobachten des Firewall-Output problemlos).
Habe jetzt mal den in der iptables action eingetragenen ban-Befehl manuell ausgeführt. Und dann erscheint auch wie erwartet die gebannte IP-Adresse in der Auflistung von iptables -L -n. Sieht mir ein wenig so aus, als würde der ban-Befehl nicht wirklich ausgeführt. Die vorherigen Befehle, also das Anlegen einer neuen chain usw, aber sehr wohl. Hmmm..... Beste Grüße Buschmann -- Das Gesetz hat zum Schneckengang verdorben, was Adlerflug geworden wäre. (Friedrich Schiller - Die Räuber) Und der Buschfunk spielt gerade "To Them These Streets Belong" von "Rise Against". www.buschmann23.de GPG-Key: 0x720AADE0
participants (2)
-
Helga Fischer -
Matthias Fehring