Forums Neueste Beiträge
 

Fail2Ban unter Ubuntu Dapper

06/10/2009 - 14:12 von Philipp Kraus | Report spam
Hallo,

ich versuche im Moment testweise Fail2ban mit Postfix zum laufen zu bekommen.
Der relevante Teil wàre folgender:

[postfix]
enabled = true

port = 25
logfile = /var/log/mail.log
timeregex = \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}
timepattern = %%b %%d %%H:%%M:%%S
failregex = too many errors after(.*)from(.*)\[<host>\]
bantime = 15
maxfailures = 1
findtime = 0
localtime=True

Ich möchte auf einen solchen Eintrag reagieren:

Oct 1 17:19:33 *zensiert* postfix/smtpd[31842]: too many errors after
RCPT from unknown[*ip*]

Der Debug Modus liefert dann im Fail2ban Log:

2009-10-05 20:52:31,923 DEBUG: /var/log/mail.log has been modified
2009-10-05 20:52:31,923 DEBUG: /var/log/mail.log
2009-10-05 20:52:31,943 DEBUG: Date 0 is smaller than 1254410083.0
2009-10-05 20:52:31,943 DEBUG: Log rotation detected for /var/log/mail.log
2009-10-05 20:52:31,945 DEBUG: Setting file position to 0 for /var/log/mail.log
2009-10-05 20:56:13,349 DEBUG: /var/log/mail.log has been modified
2009-10-05 20:56:13,349 DEBUG: /var/log/mail.log
2009-10-05 20:56:13,349 DEBUG: Setting file position to 2223445L for
/var/log/mail.log
2009-10-05 20:59:33,360 DEBUG: /var/log/mail.log has been modified
2009-10-05 20:59:33,360 DEBUG: /var/log/mail.log

Die Section "postfix" wird korrekt gestartet. Ich würde gerne irgendwie prüfen,
ob die RegExpr korrekt arbeitet, also hatte ich es mal per Hand mit
Python geprüft
und sie findet den genannten Eintrag, aber in Fail2Ban klappt es nicht.

Kann mir da jemand bitte weiterhelfen?

Vielen Dank

Phil
 

Lesen sie die antworten

#1 Jan V
08/10/2009 - 18:00 | Warnen spam
Hi
Kann mir da jemand bitte weiterhelfen?



Für die Regex bin ich zu faul, aber Debilian hat fail2ban-regex dabei.
Ubuntu nicht?
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

HTH,

Jan

Ähnliche fragen