Tham gia Đăng nhập
Điểm:0
avatar Server

Cách tạo failregex chặn đăng nhập imap fail2ban

lá cờ cn
kusjev

Ai đó có thể giúp tôi tạo bộ lọc fail2ban chính xác không. Địa chỉ IP xấu gõ cổng 993 /etc/fail2ban/filter.d/dovecot.conf không bắt được nhật ký như vậy

Tôi đã tìm thấy một cái gì đó như thế này, nhưng tôi gặp lỗi với cái này

[Sự định nghĩa]

failregex = ^%(__prefix_line)s(pop3|imap)-đăng nhập: (Thông tin: )?(Đăng nhập bị hủy bỏ|Đã ngắt kết nối)(: Không hoạt động)? \(((không có lần xác thực nào|xác thực không thành công, \d+ lần thử)( trong \d+ giây)?|đã thử $

thư.log

Ngày 28 tháng 1 11:35:10 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 7 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS, session=<4WmzJqHWpuJ1Mm4F>
Ngày 28 tháng 1 11:35:11 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 0 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: Đã đóng kết nối, phiên =<8Bi9JqHWYIB1Mm4F>
Ngày 28 tháng 1 11:35:12 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 1 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: Đã đóng kết nối, phiên =<9vHEJqHWmIF1Mm4F>
Ngày 28 tháng 1 11:35:13 mbm2-srv dovecot: imap-login: Disconnected (không có lần xác thực nào trong 1 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: read(size= 676) không thành công: Đặt lại kết nối theo ngang hàng, phiên=<Ri3TJqHWtIJ1Mm4F>
Ngày 28 tháng 1 11:35:13 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 0 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: Đã đóng kết nối, phiên =<RjDbJqHWdIR1Mm4F>
Ngày 28 tháng 1 11:35:14 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 1 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: Đã đóng kết nối, phiên =<mHXjJqHWHIV1Mm4F>
Ngày 28 tháng 1 11:35:14 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 0 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: SSL_accept() không thành công : error:14209102:SSL routines:tls_early_post_ process_client_hello:giao thức không được hỗ trợ, session=<l6XnJqHW0IV1Mm4F>
Ngày 28 tháng 1 11:35:15 mbm2-srv dovecot: imap-login: Disconnected (không có lần xác thực nào trong 1 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: read(size= 595) không thành công: Đặt lại kết nối theo ngang hàng, phiên=<ic/zJqHWhoZ1Mm4F>
Ngày 28 tháng 1 11:35:15 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần xác thực nào trong 0 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: Đã đóng kết nối, phiên =<aw78JqHWXId1Mm4F>
Ngày 28 tháng 1 11:35:15 mbm2-srv dovecot: imap-login: Đã ngắt kết nối (không có lần thử xác thực nào trong 0 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, bắt tay TLS: SSL_accept() không thành công : error:142090C1:SSL routines:tls_early_post_ process_client_hello:no shared cipher, session=<gTIAJ6HWMoh1Mm4F>
Ngày 28 tháng 1 11:35:16 mbm2-srv dovecot: imap-login: Disconnected (không có lần xác thực nào trong 0 giây): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: SSL_accept() fail : error:141CF06C:SSL routines:tls_parse_ctos_key_share:chia sẻ khóa sai, session=<l9UIJ6HW8Ih1Mm4F>

Cám ơn bạn một lần nữa

116
0 + 0
Điểm:1
sebres avatar Server
lá cờ il
sebres

Bạn không cần viết biểu thức chính quy của riêng mình nếu bạn sử dụng một số phiên bản fail2ban mới hỗ trợ bộ lọc dovecot xâm lược cách thức.
Bạn có thể kiểm tra nó với:

fail2ban-regex /path/to/log-or-test-message dovecot[mode=aggressive]

nếu bạn thấy diêm sau đó nó hoạt động cho bạn, vì vậy chỉ cần đặt cái này trong tù.local cho tù chuồng bồ câu:

[chuồng bồ câu]
chế độ = tích cực
...
đã bật = đúng

Tôi đã tìm thấy một cái gì đó như thế này, nhưng tôi gặp lỗi với cái này

Ví dụ của bạn dường như không đầy đủ (đã cắt bớt?), dù sao thì nó cũng không có <ADDR> hoặc <HOST> cũng như nó có thể được viết cơ bản cho một phiên bản fail2ban khác (bạn cũng không cung cấp).

Dù sao đối với v.0.10 trở lên, nó có thể giống như cái này, chỉ là nó sẽ chỉ hoạt động cùng với prefregex được chỉ định cao hơn một vài dòng trong cùng một bộ lọc, cũng như với các biến thay thế khác được chỉ định ở đó và cũng có thể phụ thuộc vào phiên bản của bộ lọc phổ biến bao gồm.

Hoặc thậm chí một cái gì đó như thế này (phải hoạt động với mọi phiên bản và không cần bao gồm):

failregex = ^\s*(?:\S+\s+)?(?:(?:dovecot(?:-auth)?|auth)(?:\[\d+\])?:?\s+)?( ?:kernel:\s?\[ *\d+\.\d+\]:?\s+)?(?:(?:dovecot: )?auth(?:-worker)?(?:\([^\ )]+\))?: )?(?:pam_unix(?:\(dovecot:auth\))?: |(?:pop3|imap|managesieve|submission)-đăng nhập: )?(?:Thông tin: ) ?(?:conn \w+:auth(?:-worker)? \(uid=\w+\): auth(?:-worker)?<\d+>: )?(?:Đã hủy đăng nhập|Đã ngắt kết nối|Đã đóng từ xa kết nối|Máy khách đã thoát khỏi kết nối)(?::(?: [^ \(]+)+)? \((?:không có lần xác thực nào|đã ngắt kết nối trước khi xác thực sẵn sàng,|máy khách chưa hoàn thành \S+ auth, )(?: (?:in|waited) \d+ giây)?\):(?: user=<[^>]*>,)?(?: method=\S+,)? rip=<HOST>( ?:[^>]*(?:, session=<\S+>)?)\s*$
0 + 0
lá cờ cn
kusjev
Cảm ơn bạn, vui mừng khi thấy trả lời của bạn. Tôi sẽ thử điều đó nhưng có vẻ như nó quét cổng không phải do thực sự hoặc cưỡng bức. Và do port 993 đang mở nên thấy log như thế này khá nhiều.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.