[postfix-es] Configurando fail2ban y fracasando en el intento
Christian Schmitz
list en schweb.com.ar
Lun Sep 21 18:57:50 CEST 2015
auth.log es cuando se usa dovecot (segun he leido). Yo estoy usando
cyrus-sasl.
Igualmente lo leido me fue de utilidad muchas gracias.
Saludos
Christian
El Sáb 19 Sep 2015, Jose Alberto escribió:
> Hola.
>
> No se en Opensuse, pero en Debian se guardan en /var/log/auth.log
>
> Con fail2ban apoyate con el fail2ban-regex para testear que el parseo de
> Log esta de forma correcta.
>
> Aunque fail2ban ya viene por defecto con unas configuraciones
> predeterminadas que funcionan: ssh, postfix, ftp, etc.
>
>
> Saludos.
>
> 2015-09-17 18:06 GMT-04:30 Christian Schmitz <list en schweb.com.ar>:
> > Hola a todos:
> > Tengo un servidor postfix montado en un opensuse 13.1. El tema es largo,
> > pero
> > si empiezo a desandar la madeja ya me doy por satisfecho.
> >
> > Lo primero es que estoy sufriendo una serie de ataques de autenticacion
> > por fuerza bruta.
> > Lo curioso es que el postfix no genera ningun renglon similar a este
> > econtrado
> > en internet:
> > "Oct 21 10:19:49 server1 postfix/smtpd[2715]: warning:
> > unknown[116.12.154.18]:
> > SASL LOGIN authentication failed: authentication failure"
> >
> > Sin embargo SI genera:
> > "lost connection after AUTH from unknown[170.178.174.188]"
> >
> > y otros donde AUTH está reemplazado por EHLO y CONNECT
> >
> > Aqui va mi primer pregunta: ¿Porque no se genera? y ¿que debo cambiar en
> > la configuracion para que si lo haga?.
> >
> > A raiz de lo primero estoy configurando FAIL2BAN. Pero no logro hacer
> > andar bien. Buscando en el log /var/log/fail2ban.log veo un montón de
> > alertas:
> >
> > #2015-09-17 18:35:18,554 fail2ban.filter [4711]: WARNING Unable to find a
> > corresponding IP address for unknown: [Errno -2] Name or service not
> > known
> >
> > Entonces entro y miro en /var/log/mail y en ese horario lo unico que
> > encuentro
> > es:
> > #2015-09-17T18:35:16.195314-03:00 schweb postfix/smtpd[22042]: warning:
> > hostname asociados.bancocredicoop.coop does not resolve to address
> > 200.47.24.44: Name or service not known
> >
> >
> > En el archivo postfix-sasl.conf ( donde están las reglas del sasl) tengo
> > las
> > siguientes reglas:
> >
> > failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|
> > PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [
> > A-Za-z0-9+/]*={0,2})? \s*$
> >
> > ^%(__prefix_line)slost connection after AUTH from .*\[<HOST>\]$
> >
> > ^%(__prefix_line)slost connection after EHLO from .*\[<HOST>\]$
> >
> > ^%(__prefix_line)slost connection after CONNECT from
> > .*\[<HOST>\]$
> >
> > ^%(__prefix_line)slost connection after MAIL from .*\[<HOST>\]$
> >
> > ^%(__prefix_line)sIllegal address syntax from .*\[<HOST>\]$
> >
> > ^%(__prefix_line)swarning: Connection rate limit exceeded
> > .*\[<HOST>\] for
> > service smtp$
> >
> > Parece ser que la primer regla es la que dispara el baneo. En este caso
> > el sender es un banco, y si es verdad que es el banco. ¿Como puede ser
> > que se dispare la primer regla si el /var/log/mail no contiene
> > "authentication failed" en ningun lugar?
> >
> > Tercer pregunta, ¿como puedo probar las reglas regexp fuera del postfix?
> >
> > Gracias de antemano
> > Christian
> >
> > --
> > En un mundo sin fronteras.... ¿Quién necesita Puertas y Ventanas?
> > EN INGLES: In a world without frontiers, who needs Gates and Windows
> > http://www.schdev.com.ar
> > http://gnc2.schdev.com.ar
> > _______________________________________________
> > List de correo postfix-es para tratar temas del MTA postfix en español
> > postfix-es en lists.wl0.org
> > http://lists.wl0.org/mailman/listinfo/postfix-es
--
En un mundo sin fronteras.... ¿Quién necesita Puertas y Ventanas?
EN INGLES: In a world without frontiers, who needs Gates and Windows
http://www.schdev.com.ar
http://gnc2.schdev.com.ar
Más información sobre la lista de distribución postfix-es