LINUX.ORG.RU

Fail2ban Zimbra 8.8.5

 , ,


0

1

Доброго времени суток уважаемые! Нужна помощь, сижу уже пол месяца, плесенью покрылся, но так и не дал ума, что бы с помощью Fail2ban блокировать входы в Zimbra, суть такая jail написал, пути к логам указал верно, но... положительного результата нет! Думаю вся проблема в регулярных выражениях, все испробовал, что пишут в интернете, не помогло, дело было так... Создал я файл с конфигурацией в папке filter.d под названием zimbra.conf, записал такие выражения:

failregex = \[ip=<HOST>;\] account – authentication failed for .* \(no such account\)$ \[ip=<HOST>;\] security – cmd=Auth; .* error=authentication failed for .*, invalid password;$ \[ip=<HOST>;\] security – cmd=AdminAuth; .* error=authentication failed for .*, invalid password;$ \[ip=<HOST>;\] security – cmd=Auth; .* error=authentication failed for .*, account lockout$ \[ip=<HOST>;\] account – authentication failed for .* \(account lockout\)$ ;oip=<HOST>;.* security – cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$ \[oip=<HOST>;.* SoapEngine – handler exception: authentication failed for .*, account not found$ WARN .*ip=<HOST>;ua=ZimbraWebClient .* security – cmd=AdminAuth; .* error=authentication failed for .*;$ WARN \[.*\] \[name=.*;ip=<HOST>;ua=.*;\] security - cmd=Auth; account=.*; protocol=.*; error=.*, invalid password; INFO .*ip=<HOST>;ua=zclient.*\] .* authentication failed for \[.*\], (invalid password|account not found)+$ NOQUEUE: reject: RCPT from .*\[<HOST>\]: 550 5.1.1 .*: Recipient address rejected:

Создал jail в jail.local такие: [zimbra-account] enabled = true filter = zimbra action = iptables-allports[name=Zimbra-account] logpath = /opt/zimbra/log/mailbox.log bantime = -1 maxretry = 3

[zimbra-audit] enabled = true filter = zimbra action = iptables-allports[name=Zimbra-audit] logpath = /opt/zimbra/log/audit.log bantime = -1 maxretry = 3

Захожу в браузер, ввожу адрес сервера, имитирую ошибочные входа, но БАНа нет, смотрю логи, вижу эти все мои ошибочные входа. Вот один из логов: 2019-01-23 11:58:37,185 WARN [qtp335471116-3099:https:https://192.168.1.15:7071/service/admin/soap/AuthRequest] [ip=192.168.1.129;port=49224;ua=ZimbraWebClient - FF64 (Win);] security - cmd=AdminAuth; account=4353453453453453; error=authentication failed for [4353453453453453]; Кто знает, как завести эту машину Fail2ban?

Ответ на: комментарий от Twissel

А это ява-говно-зембра столько пишет в лог или автор поста решил все запихать в regexp без пайпов?

А он написал кусок лога, те за две недели вместо того, чтобы разобраться в том, как писать regexp и хоть немного понять работу fail2ban, человек подставляет найденные в инете копипасты, а они не работают. Ясно, понятно.

constin ★★★★
()
Последнее исправление: constin (всего исправлений: 1)

на вскидку

У тебя в regexp копипастой попал везде дефис,а в логе минус

constin ★★★★
()
Последнее исправление: constin (всего исправлений: 2)
Ответ на: комментарий от constin

Из этой мешанины сложно понять.

Судя по смыслу кусок лога небольшой, остальное — творчество топикстартера.

2019-01-23 11:58:37,185 
WARN [qtp335471116-3099:https:https://192.168.1.15:7071/service/admin/soap/AuthRequest] 
[ip=192.168.1.129;port=49224;ua=ZimbraWebClient - FF64 (Win);] 
security - cmd=AdminAuth; account=4353453453453453; error=authentication failed for [4353453453453453];
Twissel ★★★★★
()
Последнее исправление: Twissel (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.