Fail2Ban unter Ubuntu Dapper
Von: Philipp Kraus (philipp.kraus@flashpixx.de) [Profil]
Datum: 06.10.2009 14:12
Message-ID: <hafc84$e15$1@online.de>
Newsgroup: de.comp.os.unix.networking.misc
Datum: 06.10.2009 14:12
Message-ID: <hafc84$e15$1@online.de>
Newsgroup: de.comp.os.unix.networking.misc
Hallo,
ich versuche im Moment testweise Fail2ban mit Postfix zum laufen zu bekommen.
Der relevante Teil wäre folgender:
[postfix]
enabled = true
port = 25
logfile = /var/log/mail.log
timeregex = \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}
timepattern = %%b %%d %%H:%%M:%%S
failregex = too many errors after(.*)from(.*)\[<host>\]
bantime = 15
maxfailures = 1
findtime = 0
localtime=True
Ich möchte auf einen solchen Eintrag reagieren:
Oct 1 17:19:33 *zensiert* postfix/smtpd[31842]: too many errors after
RCPT from unknown[*ip*]
Der Debug Modus liefert dann im Fail2ban Log:
2009-10-05 20:52:31,923 DEBUG: /var/log/mail.log has been modified
2009-10-05 20:52:31,923 DEBUG: /var/log/mail.log
2009-10-05 20:52:31,943 DEBUG: Date 0 is smaller than 1254410083.0
2009-10-05 20:52:31,943 DEBUG: Log rotation detected for /var/log/mail.log
2009-10-05 20:52:31,945 DEBUG: Setting file position to 0 for /var/log/mail.log
2009-10-05 20:56:13,349 DEBUG: /var/log/mail.log has been modified
2009-10-05 20:56:13,349 DEBUG: /var/log/mail.log
2009-10-05 20:56:13,349 DEBUG: Setting file position to 2223445L for
/var/log/mail.log
2009-10-05 20:59:33,360 DEBUG: /var/log/mail.log has been modified
2009-10-05 20:59:33,360 DEBUG: /var/log/mail.log
Die Section "postfix" wird korrekt gestartet. Ich würde gerne irgendwie
prüfen,
ob die RegExpr korrekt arbeitet, also hatte ich es mal per Hand mit
Python geprüft
und sie findet den genannten Eintrag, aber in Fail2Ban klappt es nicht.
Kann mir da jemand bitte weiterhelfen?
Vielen Dank
Phil
[ Auf dieses Posting antworten ]Antworten
- Jan Völkers (08.10.2009 18:00)