Доброго времени суток уважаемые! Нужна помощь, сижу уже пол месяца, плесенью покрылся, но так и не дал ума, что бы с помощью Fail2ban блокировать входы в Zimbra, суть такая jail написал, пути к логам указал верно, но... положительного результата нет! Думаю вся проблема в регулярных выражениях, все испробовал, что пишут в интернете, не помогло, дело было так... Создал я файл с конфигурацией в папке filter.d под названием zimbra.conf, записал такие выражения:
failregex = \[ip=<HOST>;\] account – authentication failed for .* \(no such account\)$ \[ip=<HOST>;\] security – cmd=Auth; .* error=authentication failed for .*, invalid password;$ \[ip=<HOST>;\] security – cmd=AdminAuth; .* error=authentication failed for .*, invalid password;$ \[ip=<HOST>;\] security – cmd=Auth; .* error=authentication failed for .*, account lockout$ \[ip=<HOST>;\] account – authentication failed for .* \(account lockout\)$ ;oip=<HOST>;.* security – cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$ \[oip=<HOST>;.* SoapEngine – handler exception: authentication failed for .*, account not found$ WARN .*ip=<HOST>;ua=ZimbraWebClient .* security – cmd=AdminAuth; .* error=authentication failed for .*;$ WARN \[.*\] \[name=.*;ip=<HOST>;ua=.*;\] security - cmd=Auth; account=.*; protocol=.*; error=.*, invalid password; INFO .*ip=<HOST>;ua=zclient.*\] .* authentication failed for \[.*\], (invalid password|account not found)+$ NOQUEUE: reject: RCPT from .*\[<HOST>\]: 550 5.1.1 .*: Recipient address rejected:
Создал jail в jail.local такие: [zimbra-account] enabled = true filter = zimbra action = iptables-allports[name=Zimbra-account] logpath = /opt/zimbra/log/mailbox.log bantime = -1 maxretry = 3
[zimbra-audit] enabled = true filter = zimbra action = iptables-allports[name=Zimbra-audit] logpath = /opt/zimbra/log/audit.log bantime = -1 maxretry = 3
Захожу в браузер, ввожу адрес сервера, имитирую ошибочные входа, но БАНа нет, смотрю логи, вижу эти все мои ошибочные входа. Вот один из логов: 2019-01-23 11:58:37,185 WARN [qtp335471116-3099:https:https://192.168.1.15:7071/service/admin/soap/AuthRequest] [ip=192.168.1.129;port=49224;ua=ZimbraWebClient - FF64 (Win);] security - cmd=AdminAuth; account=4353453453453453; error=authentication failed for [4353453453453453]; Кто знает, как завести эту машину Fail2ban?