pure-ftpd+filtre fail2ban

Le
dexinou
--=-rAt9ChAkZkSnaAW3nEcB
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
j'utilise depuis plus d'un an pure-ftpd sur debian (Etch), j'ai voulu
installer fail2ban pour bannir après 3 tentatives infructueuse.
Fail2ban fonctionne bien avec ssh mais voilà il n'y a pas de filtre pour
pure-ftpd.
Pour qmail, proftpd, vsftpd il y en a.

Alors j'ai essayer de créer un filtre à partir d'un filtre existant,
celui de vsftp qui se rapproche le plus, selon moi de pure-ftpd par
rapport aux log.
Voici le filtre:

# Fail2Ban configuration file
#
# Author: test
#
# $Revision: 1 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
The
# host must be matched by a group named "host". The tag
"<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEXT
#
failregex = pure-ftpd: (pam_unix) authentication failure; .*
rhost=<HOST>

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Voilà, la ligne failregex = pure-ftpd: (pam_unix) authentication
failure; .* rhost=<HOST>

est pour moi un mystère et voici une ligne de mon fichier de log pour
pure-ftpd:
Mar 15 15:20:47 server pure-ftpd: (?@127.0.0.1) [INFO] Nouvelle
connexion de 127.0.0.1
Mar 15 15:20:57 server pure-ftpd: (?@127.0.0.1) [INFO] toto est
maintenant loggue

J'ai testé et ça ne fonctione pas
Pouvez-vous m'aider pour la création de ce filtre ?
Merci d'avance.

--
Dexinou <nuxwin developpers team>

--=-rAt9ChAkZkSnaAW3nEcB
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?=

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBF+gkE9YYci8d9X9ARAqY7AJ9Ib9FdqCjnIkuzKYu1NphE6PDCgwCfQq4L
gWdQwwC8euRNr3SA0opMI8o=
=sHFI
--END PGP SIGNATURE--

--=-rAt9ChAkZkSnaAW3nEcB--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Franck Joncourt
Le #9527411
--h31gzZEtNLTqOjlF
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Mar 16, 2007 at 04:03:32AM +0100, dexinou wrote:
Bonjour,
j'utilise depuis plus d'un an pure-ftpd sur debian (Etch), j'ai voulu
installer fail2ban pour bannir après 3 tentatives infructueuse.
Fail2ban fonctionne bien avec ssh mais voilà il n'y a pas de filtre pour
pure-ftpd.
Pour qmail, proftpd, vsftpd il y en a.




J'ai une autre approche avec iptables :

iptables -A wan_in_new -p tcp --syn --dport 21 -m recent --set --name
ftp_hits_list

iptables -A wan_in_new -p tcp --syn --dport 21 -m recent --rcheck
--seconds 300 --hitcount 2 --name ftp_hits_list -j reject_all

iptables -A wan_in_new -p tcp --syn --dport 21 -j ACCEPT

=> 1 hit = 3 tentatives de connexion toutes les 5minutes

la chaine utilisateur "wan_in_new" correponds aux connexions Internet et
"reject_all" peut etre assimilée à du DROP ou REJECT.

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--h31gzZEtNLTqOjlF
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFF/WnYxJBTTnXAif4RAtWQAKDT4e+RGOZManNJ6UGeR59BOwidYgCfUFO3
ncJ7PFMeA3lKXz9YGNdC4Mk =b/YS
-----END PGP SIGNATURE-----

--h31gzZEtNLTqOjlF--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9527401
--9jxsPFA5p3P2qPhR
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Mar 16, 2007 at 04:03:32AM +0100, dexinou wrote:
Bonjour,
j'utilise depuis plus d'un an pure-ftpd sur debian (Etch), j'ai voulu
installer fail2ban pour bannir après 3 tentatives infructueuse.
Fail2ban fonctionne bien avec ssh mais voilà il n'y a pas de filtre pour
pure-ftpd.
Pour qmail, proftpd, vsftpd il y en a.



Voivi une autre approche via iptables :

iptables -A wan_in_new -p tcp --syn --dport 21 -m recent --set --name
ftp_hits_list
iptables -A wan_in_new -p tcp --syn --dport 21 -m recent --rcheck
--seconds 300 --hitcount 2 --name ftp_hits_list -j reject_all
iptables -A wan_in_new -p tcp --syn --dport 21 -j ACCEPT

=> 3 tentavives de connexion = 1 hit avec le compteur remis a zéro
toutes les 5 minutes.


--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--9jxsPFA5p3P2qPhR
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFF/WEQxJBTTnXAif4RAkaiAJ9YlqjKn6r1sSzqFReLk3trDuse8gCfXpQ4
B6EdyqQlRogC/r1xrzNN/d8 =gUNk
-----END PGP SIGNATURE-----

--9jxsPFA5p3P2qPhR--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme