Discussion :

[panthere noire]

Hello

j'utilise fail2ban sur ma debian jessie 8 stable, sur mon serveur.

fail2ban ne parvient pas a charger une règle:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
fail2ban[16764]: Starting authentication failure monitor: fail2banWARNING 'ignoreregex' not defined in 'Definition'. Using default one: ''

j'ai fait une recherche:
http://www.sublimigeek.fr/installer-...sur-un-serveur

j'ai donc tester:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
cat /etc/fail2ban/filter.d/postfix-sasl.conf
# Fail2Ban filter for postfix authentication failures
#
 
[INCLUDES]
 
before = common.conf
 
[Definition]
 
_daemon = postfix/smtpd
 
#failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
#failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]*={0,2})?$
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed
# Author: Yaroslav Halchenko

Avec: 1 ligne , c'est a dire, une par une -> #
suivis du restart de fail2ban .
Résulta: aucun changement.

Ce qui est gênant car certain font du brute force sur le port smtp (25) .

Vu que pour moi ça ressemble a un langage incompréhensible (?i): -.\ etc
Un peux d'aide serait la bienvenue
Merci d'avance

[Flodelarab]

Bonjour

Dans ton message, il n'y a pas de point d'interrogation. Donc, pas de question. Que cherches-tu ? En quoi peut-on aider ?

Pour les regex, il faudrait se renseigner dans la doc de fail2ban car autant les [ ] sont classiquement une liste de caractères possibles, autant les ? en début d'expression n'ont pas de sens dans les regex normales.

[panthere noire]

Bonjours,

Merci de m'avoirs répondu.
A force de chercher j'ai passer pas mal de temps la dessus.
voici une solution qui fonctionne.
pour être plus précis le souci venais du fait que la règle n'était pas chargée et empêchait fail2ban de ce charger

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
 cat /etc/fail2ban/filter.d/postfix-sasl.conf
# Fail2Ban filter for selected Postfix SMTP rejections
#
#
 
[INCLUDES]
 
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
 
[Definition]
 
_daemon = postfix/smtpd
 
#failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
ignoreregex =

je place le problème en résolut
Si quelqu'un trouve que cette règle est pas appropriée, en proposer une autre serai bien

Désoler pour le temps de réponse , j’avais pas mal le nez dans coller aux moteur de recherche
je ferai bien un rapport de bug mai bon l'anglais et moi j'ai du mal