[postfix-es] Consulta Fail2ban
Jose Alberto
j.sejo1 en gmail.com
Jue Ago 1 14:46:32 CEST 2013
Buen dia Robert.
Fail2ban es una herramienta muy poderosa ya que simplemente lee cualquier
archivo de log y tomar una accion de acuerdo a lo que uno quiere que haga
cuando vea en dicho log algo en especifico.
Lo unico complejo o mejor dicho que llevaria algo de trabajo es configurar
los failregex, en realidad todo esta en dominar las expresiones regulares,
en la pagina de fail2ban y en los mismos archivos de configuracion colocan
varios ejemplos para un mismo servicio.
En la noche te puedo pasar los mios para que te guies, lo tengo para
autenticaciones fallidas smtp-sasl y courier-pop. Sobre debian lenny.
Esto puede irte ayudando:
http://es.wikipedia.org/wiki/Expresión_regular
http://enavas.blogspot.com/2008/03/linux-expresiones-regulares.html
http://www.it.uc3m.es/tsao/practicas/expresiones.html
Saludos.
2013/8/1 Robert J. Briones C. <robert.briones en gmail.com>
> Estimados. debido a un reciente ataque de varias IP desde china he
> investigado un poco y encontre Fail2ban, según veo es un software
> interesante que permite bloquear IP que hacen muchos login fallidos y desde
> diferentes IP
>
> el problema es que no puedo configurar el failregex
>
> he intentado con algunos como estos.
>
> #failregex = warning: (.*)[<HOST>]: SASL LOGIN authentication failed:
> authentication failure
> #failregex = : warning: .*+\[<HOST>\]: SASL
> (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed
> failregex = : warning: [-._\w]+\[<HOST>\]: SASL
> (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$
>
> unos me dan error y otros no enuentra coincidencia.
>
> las lineas del log que me dan cuenta del error de login son las siguientes
>
> Aug 1 01:27:38 nao postfix/smtpd[31212]: connect from
> unknown[183.160.126.122]
> Aug 1 01:27:39 nao postfix/smtpd[31212]: warning:
> unknown[183.160.126.122]: SASL LOGIN authentication failed: authentication
> failure
> Aug 1 01:27:40 nao postfix/smtpd[31212]: lost connection after AUTH from
> unknown[183.160.126.122]
> Aug 1 01:27:40 nao postfix/smtpd[31212]: disconnect from
> unknown[183.160.126.122]
> Aug 1 01:28:24 nao postfix/smtpd[31212]: connect from
> unknown[60.173.9.227]
> Aug 1 01:28:25 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]:
> SASL LOGIN authentication failed: authentication failure
> Aug 1 01:28:26 nao postfix/smtpd[31212]: lost connection after AUTH from
> unknown[60.173.9.227]
> Aug 1 01:28:26 nao postfix/smtpd[31212]: disconnect from
> unknown[60.173.9.227]
> Aug 1 01:28:27 nao postfix/smtpd[31212]: connect from
> unknown[60.173.9.227]
> Aug 1 01:28:28 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]:
> SASL LOGIN authentication failed: authentication failure
> Aug 1 01:28:29 nao postfix/smtpd[31212]: lost connection after AUTH from
> unknown[60.173.9.227]
> Aug 1 01:28:29 nao postfix/smtpd[31212]: disconnect from
> unknown[60.173.9.227]
>
> y realmente he buscado pero no encuentro que poner para que me funcione el
> fail2ban.
>
> espero me puedan ayudar.
>
> Saludos.
>
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
--
#############################
# Sistema Operativo: Debian #
# Caracas, Venezuela #
#############################
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20130801/82464080/attachment.html>
Más información sobre la lista de distribución postfix-es