fail2ban zimbra

0

1

Добрый день, установил на сервер c zimbra fail2ban.

но он ни как не хочет блокировать ip адреса. Я так понял что те правила которые идут по умолчанию не отрабатывают.

к примеру в логах есть строка:

INFO  [ImapServer-595] [ip=192.168.0.5;oip=181.209.77.162;via=192.168.0.5(nginx/1.7.1);ua=Zimbra/8.7.0_GA_1659;] account - authentication failed for mail@domain.ru (no such account)

А это /filter.d/zimbra.conf

# Fail2Ban configuration file
#
# Author: Martin Slavovo

[Definition]

failregex = \[oip=<HOST>;\] account – authentication failed for .* \(no such account\)$
\[oip=<HOST>;\] imap – authentication failed for .* \(external LDAP auth failed\)$
\[oip=<HOST>;\] imap – authentication failed for .* \(account lockout\)$
\[ip=<HOST>;\] security – cmd=Auth; .* error=authentication failed for .*, invalid password;$
\[ip=<HOST>;\] security – cmd=AdminAuth; .* error=authentication failed for .*, invalid password;$
\[ip=<HOST>;\] security – cmd=Auth; .* error=authentication failed for .*, account lockout$
\[ip=<HOST>;\] account – authentication failed for .* \(account lockout\)$
;oip=<HOST>;.* security – cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
\[oip=<HOST>;.* SoapEngine – handler exception: authentication failed for .*, account not found$
WARN .*ip=<HOST>;ua=ZimbraWebClient .* security – cmd=AdminAuth; .* error=authentication failed for .*;$
INFO .*ip=<HOST>;ua=zclient.*\] .* authentication failed for \[.*\], (invalid password|account not found)+$
NOQUEUE: reject: RCPT from .*\[<HOST>\]: 550 5.1.1 .*: Recipient address rejected:

ignoreregex =

Пути к логам указаны верно.

Два верхних правила я переписал, но ничего так и не банится, хотя в логах есть записи. Может я как-то не правильно описал правило и оно не фильтрует эти записи?

Ссылка

←	FTPS и сертификат домена

Контейнеры и костыли

→

в fail2ban есть замечатльная утиль для тестирования регекспов в фильтрах

fail2ban-regex --print-all-matched logfile /etc/fail2ban/filter.d/zimbra.conf

vel ★★★★★
(08.10.18 12:59:55 MSK)

Ответ на: комментарий от vel 08.10.18 12:59:55 MSK

Да, я вот её нашел и не одно правило не отрабатывает запрос. В чем причина пока что не понял.

madcry
(08.10.18 13:04:26 MSK) автор топика

Ответ на: комментарий от madcry 08.10.18 13:04:26 MSK

у fail2ban странный парсер регулярных выражений, он не понимает символ «]». уберите его.

arto ★★
(08.10.18 15:56:43 MSK)

Ответ на: комментарий от arto 08.10.18 15:56:43 MSK

Да что же такое... Вот строка из лога /opt/zimbra/log/mailbox.log

2018-10-09 09:21:37,316 INFO  [ImapServer-732] [ip=192.168.0.5;oip=217.21.159.134;via=192.168.0.5(nginx/1.7.1);ua=Zimbra/8.7.0_GA_1659;] account - authentication failed for mail@domain.ru (no such account)

Это чать jail.local

[zimbra-account]

enabled = true
filter = zimbra
action = iptables-allports[name=Zimbra-account]
logpath = /opt/zimbra/log/mailbox.log
findtime = 86400
bantime = 10800
maxretry = 1

Такое правило применяю, к примеру

fail2ban-regex /opt/zimbra/log/mailbox.log "\oip=<HOST>;\ account - authentication failed for .* \no such account\$"

и ничего...

Running tests
=============

Use regex line : \oip=<HOST>;\ account - authentication failed for ...
Use log file   : /opt/zimbra/log/mailbox.log


Results
=======

Failregex
|- Regular expressions:
|  [1] \oip=<HOST>;\ account - authentication failed for .* \no such account$
|
`- Number of matches:
   [1] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Sorry, no match

madcry
(09.10.18 09:46:27 MSK) автор топика

Ответ на: комментарий от madcry 09.10.18 09:46:27 MSK

Такие еще варианты были.

fail2ban-regex /opt/zimbra/log/mailbox.log "INFO .*oip=<HOST>; .* account - authentication failed for .* \(no such account\)$"

 "INFO .*oip=<HOST>; .* account - authentication failed for .* \(no such account\)$"

fail2ban-regex /opt/zimbra/log/mailbox.log "\ip=<HOST>;\ account - authentication failed for .* \(no such account\)$"

madcry
(09.10.18 09:49:58 MSK) автор топика

Ответ на: комментарий от madcry 09.10.18 09:49:58 MSK

А такое сработало )

oip=<HOST>.*account - authentication failed for.*no such account

madcry
(09.10.18 09:53:00 MSK) автор топика

Ответ на: комментарий от madcry 09.10.18 09:53:00 MSK

Подскажите пожалуйста. Тест выполнил по конфигу в котором несколько правил. Отобразилось это так. Это значит что он нашел только по этому правилу? Или вообще только по одному ищет?

Running tests
=============

Use regex file : /etc/fail2ban/filter.d/zimbra.conf
Use log file   : /opt/zimbra/log/mailbox.log


Results
=======

Failregex
|- Regular expressions:
|  [1] oip=<HOST>.*account - authentication failed for.*no such account
|
`- Number of matches:
   [1] 83 match(es)

madcry
(09.10.18 11:24:25 MSK) автор топика

Ответ на: комментарий от madcry 09.10.18 11:24:25 MSK

это вопрос мне?

показывает регулярные выражения и количества совпадений.

arto ★★
(09.10.18 13:18:26 MSK)

Ответ на: комментарий от arto 09.10.18 13:18:26 MSK

Но у меня их там не одно, коло десятка. Должен все показывать или одно, я вот что не пойму)

madcry
(09.10.18 15:09:40 MSK) автор топика

Ответ на: комментарий от madcry 09.10.18 15:09:40 MSK

совпавшие

arto ★★
(10.10.18 06:21:54 MSK)

Ответ на: комментарий от arto 10.10.18 06:21:54 MSK

Спасибо огромное за помощь)

madcry
(10.10.18 12:50:53 MSK) автор топика

20 ноября 2018 г.

Ответ на: комментарий от madcry 10.10.18 12:50:53 MSK

Если не затруднит, расскажите пожалуйста как вы решили данную проблему? Сам сижу сейчас бьюсь с ней.

lone_wolf
(20.11.18 18:23:52 MSK)

Ответ на: комментарий от lone_wolf 20.11.18 18:23:52 MSK

oip=<HOST>.*account - authentication failed for.*no such account

простые правила сработали.

madcry
(21.11.18 14:52:26 MSK) автор топика

Ссылка

Ответ на: комментарий от lone_wolf 20.11.18 18:23:52 MSK

/etc/fail2ban/filter.d/zimbra.conf

сюда вписал

oip=<HOST>.*account - authentication failed for.*no such account
oip=<HOST>.*imap - authentication failed for.*external LDAP auth failed

Всё остально оставил как есть

madcry
(21.11.18 14:57:59 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	FTPS и сертификат домена

Security

Контейнеры и костыли

→

Похожие темы