[postfix-es] Configurando fail2ban y fracasando en el intento
Jose Alberto
j.sejo1 en gmail.com
Dom Sep 20 04:44:26 CEST 2015
Hola.
No se en Opensuse, pero en Debian se guardan en /var/log/auth.log
Con fail2ban apoyate con el fail2ban-regex para testear que el parseo de
Log esta de forma correcta.
Aunque fail2ban ya viene por defecto con unas configuraciones
predeterminadas que funcionan: ssh, postfix, ftp, etc.
Saludos.
2015-09-17 18:06 GMT-04:30 Christian Schmitz <list en schweb.com.ar>:
> Hola a todos:
> Tengo un servidor postfix montado en un opensuse 13.1. El tema es largo,
> pero
> si empiezo a desandar la madeja ya me doy por satisfecho.
>
> Lo primero es que estoy sufriendo una serie de ataques de autenticacion por
> fuerza bruta.
> Lo curioso es que el postfix no genera ningun renglon similar a este
> econtrado
> en internet:
> "Oct 21 10:19:49 server1 postfix/smtpd[2715]: warning:
> unknown[116.12.154.18]:
> SASL LOGIN authentication failed: authentication failure"
>
> Sin embargo SI genera:
> "lost connection after AUTH from unknown[170.178.174.188]"
>
> y otros donde AUTH está reemplazado por EHLO y CONNECT
>
> Aqui va mi primer pregunta: ¿Porque no se genera? y ¿que debo cambiar en la
> configuracion para que si lo haga?.
>
> A raiz de lo primero estoy configurando FAIL2BAN. Pero no logro hacer andar
> bien. Buscando en el log /var/log/fail2ban.log veo un montón de alertas:
>
> #2015-09-17 18:35:18,554 fail2ban.filter [4711]: WARNING Unable to find a
> corresponding IP address for unknown: [Errno -2] Name or service not known
>
> Entonces entro y miro en /var/log/mail y en ese horario lo unico que
> encuentro
> es:
> #2015-09-17T18:35:16.195314-03:00 schweb postfix/smtpd[22042]: warning:
> hostname asociados.bancocredicoop.coop does not resolve to address
> 200.47.24.44: Name or service not known
>
>
> En el archivo postfix-sasl.conf ( donde están las reglas del sasl) tengo
> las
> siguientes reglas:
>
> failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|
> PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?
> \s*$
>
> ^%(__prefix_line)slost connection after AUTH from .*\[<HOST>\]$
>
> ^%(__prefix_line)slost connection after EHLO from .*\[<HOST>\]$
>
> ^%(__prefix_line)slost connection after CONNECT from .*\[<HOST>\]$
>
> ^%(__prefix_line)slost connection after MAIL from .*\[<HOST>\]$
>
> ^%(__prefix_line)sIllegal address syntax from .*\[<HOST>\]$
>
> ^%(__prefix_line)swarning: Connection rate limit exceeded
> .*\[<HOST>\] for
> service smtp$
>
> Parece ser que la primer regla es la que dispara el baneo. En este caso el
> sender es un banco, y si es verdad que es el banco. ¿Como puede ser que se
> dispare la primer regla si el /var/log/mail no contiene "authentication
> failed" en ningun lugar?
>
> Tercer pregunta, ¿como puedo probar las reglas regexp fuera del postfix?
>
> Gracias de antemano
> Christian
>
> --
> En un mundo sin fronteras.... ¿Quién necesita Puertas y Ventanas?
> EN INGLES: In a world without frontiers, who needs Gates and Windows
> http://www.schdev.com.ar
> http://gnc2.schdev.com.ar
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
--
#############################
# Sistema Operativo: Debian #
# Caracas, Venezuela #
#############################
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20150919/c41e7afa/attachment.html>
Más información sobre la lista de distribución postfix-es