Tentatives de login avec dovecot

Le 5 nov. 2015 à 12:36, andre_debian@numericable.fr a écrit :

On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote:

En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais.
Pour ma part, je ne mets dans jail.local que mes ajouts/modifications
par rapport à jail.conf. Je ne réalise donc pas une copie préalable de
jail.conf vers jail.local.
Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier
post et rien d'autre (enfin, j'ai aussi quelques autres jails pour
lesquels j'ai surchargé la conf mais sur le même principe).
L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de
conf. Évidemment, ça peut aussi être un soucis si le mainteneur change
une option qui me convenait mais l'important est d'en être conscient (et
sur une debian stable, le risque est très limité).

J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h :
=======
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin@free.org
rhost=192.162.68.120 : 12 Time(s)
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test@free.org
rhost=192.162.68.120 : 11 Time(s)
...
=======
12 Times et 11 Times..., alors que maxretry = 3.

Oui, c'est possible quand les requêtes sont simultanées.

Au fil du temps, ça va s'arranger pourvu que tu bannisse les IP assez longtemps.

Une autre condition est que le filtre soit adéquat. Par exemple, j'utilise NginX comme

serveur Web, et j'ai dû créer des filtres en conséquence.

Par ailleurs, certains de mes sites sont chez Cloudflare. Il faut attendre que le service

traite les données, donc ponctuellement il peut y avoir une inflation de vilaines requêtes.

Le 5 nov. 2015 à 13:09, Vincent Besse <vincent@ouhena.org> a écrit :

On Thu, 5 Nov 2015 12:36:03 +0100
andre_debian@numericable.fr wrote:

[...]

J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h :
=======
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin@free.org
rhost=192.162.68.120 : 12 Time(s)
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test@free.org
rhost=192.162.68.120 : 11 Time(s)
...
=======
12 Times et 11 Times..., alors que maxretry = 3.

André

Avoir un fichier jail.local est une chose, encore faut-il que fail2ban
sache reconnaître ces lignes et les traiter. Il faut donc avoir
dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour
qu' il ne soit pas lui non plus écrasé par une mise à jour) qui
contienne une regex correspondant à ces logs et que dans la section
[dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de
regarder le bon fichier de log.

Tu peux tester tes paramètres de configuration ainsi :
/usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local)

Par exemple ce que j'ai fait pour les tentatives de login sur le Web :
/usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf

Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local

et ils sont restés tels quels après ma dernière mise à jour.

Mais je n'ai pas modifié de fichier de conf d'origineÂ…

Vu la gueule des messages ça doit
provenir de /var/log/auth.log mais c' est à confirmer.

D'accord avec Vincent :-)

Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose.

On Thu, 5 Nov 2015 13:41:34 +0100
Philippe Gras <ph.gras@worldonline.fr> wrote:

[...]

Perso, j'ai créé plein de regex dans des filtres perso que je n 'ai pas nommé en local

et ils sont restés tels quels après ma dernière mise à   jour.

Mais je n'ai pas modifié de fichier de conf d'origine…

Les nommer en .local permet d' être sûr aussi que ton fichier ne posera
pas de problème si une version ultérieure du paquet amène un fichier
qui voudrait avoir le même nom que le tien. Et ça permet de rep érer de
suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.

> Vu la gueule des messages ça doit
> provenir de /var/log/auth.log mais c' est à confirmer.

D'accord avec Vincent :-)
>
Il existe une tonne de tutos (en français) sur fail2ban, un petit to ur chez Gogol s'impose.

D' accord avec Philippe :D

Vincent

--
La musique adoucit-elle les moeurs? Testez-vous sur:
http://soundcloud.com/ouhena
http://www.reverbnation.com/koslow

Le 5 nov. 2015 à 14:35, Vincent Besse <vincent@ouhena.org> a écrit :

On Thu, 5 Nov 2015 13:41:34 +0100
Philippe Gras <ph.gras@worldonline.fr> wrote:

[...]

Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local

et ils sont restés tels quels après ma dernière mise à jour.

Mais je n'ai pas modifié de fichier de conf d'origineÂ…

Les nommer en .local permet d' être sûr aussi que ton fichier ne posera
pas de problème si une version ultérieure du paquet amène un fichier
qui voudrait avoir le même nom que le tien. Et ça permet de repérer de
suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.

C'est fort probableÂ… et en tout cas c'est vrai, si tu veux modifier un filtre ou une action

machin.conf. Dans mon cas, les conf originales que j'ai conservées, je les ai utilisées

telles quelles. Mais j'ai aussi dû créer des filtres et des actions personnelsÂ…

Je ne savais pas comment les nommerÂ… alors je les ai nommés bidule_perso.conf et

ils n'ont pas été écrasés lors de la dernière MAJ.

Auraient-ils fonctionnés si je les avais nommés directement bidule_perso.local ?

C'est une question que je me suis posée, mais à laquelle je n'ai pas trouvé de réponse.

Bonjour,

Depuis les additifs dans "/etc/fail2ban/",
ça s'améliore avec quasiment plus de connexions,
aujourd'hui, une seule et limitée à 2 :

dovecot: Invalid Users: Unknown Account: 2 Time(s)
Unknown Entries:
authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=<user>@<domain.org> rhost=88.191.250.166 : 2 Time(s).

André