Fail2ban: dovecot लॉगिन/प्रमाणीकरण के लिए फ़ेल2बैन सेट करने में समस्या आ रही है

को निर्मित 16 मई 2018 · 4टिप्पणियाँ · स्रोत: fail2ban/fail2ban

Fail2Ban संस्करण विफल2ban/बायोनिक, बायोनिक, अब 0.10.2-2 सभी [स्थापित]
Linux divzero.at 4.15.0-20-generic #21-Ubuntu SMP मंगल 24 अप्रैल 06:16:15 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
उबंटू 18.04 एलटीएस
[x] Fail2Ban OS/वितरण तंत्र के माध्यम से स्थापित
[x] आपने कोडबेस पर कोई अतिरिक्त विदेशी पैच लागू नहीं किया है
[x] कॉन्फ़िगरेशन के लिए कुछ अनुकूलन किए गए थे (नीचे विवरण प्रदान करें ऐसा है)

समस्या:

नमस्ते,
मैं असफल प्रमाणीकरण/लॉगिन प्रयासों को प्रतिबंधित करने का प्रयास कर रहा हूं। कुछ ट्यूटोरियल/हाउटो हैं लेकिन ऐसा लगता है कि वे किसी प्रकार के पुराने रेगेक्स का उपयोग कर रहे हैं?

/etc/fail2ban # fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/dovecot-pop3imap.conf

Running tests
=============
Use   failregex filter file : dovecot-pop3imap, basedir: /etc/fail2ban
ERROR: No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*'

मैं https://wiki.dovecot.org/HowTo/Fail2Ban और ।

दूसरे पृष्ठ में उदाहरण एक त्रुटि नहीं फेंकता है, लेकिन मुझे यह भी यकीन नहीं है कि यह वही करता है जो मैं वास्तव में करना चाहता हूं।

प्रजनन के चरण

dovecot-pop3imap.conf बनाएं जैसा कि dovecot विकी में बताया गया है

अपेक्षित् व्यवहार

विफल लॉगिन/प्रमाणीकरण प्रयासों पर प्रतिबंध लगाना।

मनाया व्यवहार

रेगेक्स काम नहीं कर रहा है।

कोई अतिरिक्त जानकारी

मैंने कल ubuntu सर्वर को अपग्रेड किया है और इसने फेल2बैन का एक नया संस्करण स्थापित किया है। तब से कस्टम कॉन्फ़िगरेशन अब काम नहीं करता है।

कॉन्फ़िगरेशन, डंप और अन्य सहायक अंश

/etc/fail2ban/कॉन्फ़िगरेशन में किया गया कोई भी अनुकूलन

/var/log/fail2ban.log फ़ाइल के प्रासंगिक भाग:

loglevel = 4 _ के साथ फेल2बैन चलाते समय _अधिमानतः प्राप्त किया गया

2018-05-16 14:20:09,136 fail2ban.filter         [31796]: ERROR   No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*'
2018-05-16 14:20:09,136 fail2ban.transmitter    [31796]: WARNING Command ['set', 'dovecot-pop3imap', 'addfailregex', '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed).*rip=(?P<host>\\S*),.*'] has failed. Received Rege
xException("No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed).*rip=(?P<host>\\S*),.*'",)
2018-05-16 14:20:09,137 fail2ban                [31796]: ERROR   NOK: ("No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed).*rip=(?P<host>\\S*),.*'",)

विचाराधीन लॉग फ़ाइलों से प्रासंगिक पंक्तियाँ:

स्रोत

eNTi

सबसे उपयोगी टिप्पणी

क्या आप अभी "DISLIKE" देखते हैं...

और डेवलपर सेबर्स इस पर टिप्पणी करते हैं ...

नहीं, "डेवलपर sebres" टिप्पणी की - टोकन उपयोग <HOST> के बजाय (?P<host>\S*) ।

रेगेक्स (?P<host>\S*) वैसे भी एक गैर-दस्तावेज सुविधा थी (और उस समय से जब आप अभी भी पैदा नहीं हुए हैं) ... नवीनतम संस्करण, खासकर अगर चैंज कहता है कि यह शीर्ष पर भारी बोल्ड है:
https://github.com/fail2ban/fail2ban/blob/e2a255d104f947f149cc34b17e778c05175e9f78/ChangeLog#L9 -L22

फिर भी:

(?P<host>\S*) - नहीं।
<HOST> , <ADDR> , <DNS> - हाँ।

सिर्फ इसलिए कि 0.10 के बाद से विफल 2 प्रतिबंध को IPv4 और IPv6 के बीच अंतर करना चाहिए, इसीलिए इसे फिर से लिखा गया है।
इसलिए (?P<host>\S*) लिए उचित रेगेक्स-आधारित प्रतिस्थापन अधिक जटिल है।

सामान्य टैग के अतिरिक्त <HOST> अब कई अन्य टैग संभव हैं - <ADDR> , <IP4> , <IP6> और साथ ही DNS ।

यदि आप विफलता-आईडी के लिए आईपी के रूप में कुछ और उपयोग करना चाहते हैं तो विकी देखें

उदाहरण लिखने में सेबर्स को कितना समय लगेगा:

बहुत अधिक (क्योंकि मुफ्त में)। लेकिन उन्होंने (और कई अन्य) पहले से ही पर्याप्त उदाहरण (ऊपर विकी देखें), दस्तावेज़ और चेंजलॉग प्रविष्टियां (जिसे कोई नहीं पढ़ता है) लिख चुका है।

और अंतिम लेकिन कम से कम - अंग्रेजी सीखने का प्रयास करें, आप पहली टिप्पणी में उत्तर को समझने में सक्षम होंगे:

आपको इसके बजाय <HOST> (सभी रूपों का संचयन), <ADDR> (केवल ips) या <DNS> (केवल डीएनएस-होस्ट) का उपयोग करना चाहिए।

कम्प्रेंडो?

sebres 15 अग॰ 2018

👍8 😄1 👎1

सभी 4 टिप्पणियाँ

(?P<host>\S*) का मान अब मान्य नहीं है (चूंकि IPv6-समर्थन 0.10 में है, फेल2बान के नवीनतम संस्करण में DNS/IPv4/IPv6 के लिए अन्य हैंडलिंग और regexp है, क्योंकि मिलान के दौरान इस समूह के बीच अंतर होता है)।
तो आपको इसके बजाय <HOST> (सभी रूपों को संचयित करें), <ADDR> (केवल ips) या <DNS> (केवल डीएनएस-होस्ट) का उपयोग करना चाहिए।

बीटीडब्ल्यू। इंटरपोलेशन <HOST> निम्नलिखित रेगेक्स के लिए एक "उपनाम" है:

(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))

sebres 24 मई 2018

👍3 👎1

DISLIKE बटन कहाँ है। अद्यतन ubuntu के बाद यह एक ही मुद्दे पर टिप्पणी करता है:

fail2ban.filter         [8151]: ERROR   No failure-id group in '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*'
2018-08-15 14:19:18,200 fail2ban.transmitter    [8151]: WARNING Command ['multi-set', 'dovecot-pop3imap', 'addfailregex', ['(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(\\d+ authentication attempts).*rip=(?P<host>\\S*),.*', '.*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(tried to use disallowed plaintext auth).*\\s+rip=(?P<host>\\S*),.*', 'pam.*dovecot.*(?:authentication failure).*\\s+rhost=<HOST>(?:\\s+user=.*)?\\s*$']] has failed. Received RegexException("No failure-id group in '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(\\d+ authentication attempts).*rip=(?P<host>\\S*),.*'",)
2018-08-15 14:19:18,200 fail2ban                [8151]: ERROR   NOK: ("No failure-id group in '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(\\d+ authentication attempts).*rip=(?P<host>\\S*),.*'",)

और डेवलपर सेबर्स इस पर टिप्पणी करते हैं;

(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))

तो क्या कोई समझता है कि इसे कैसे ठीक किया जाए, क्योंकि हम डेवलपर सेबर्स को नहीं समझते थे। जब खराब डेवलपर इस तरह की चीजें करना बंद कर देंगे " (?:(?:::f{4,6}:)?(?P(?:\d{1,3}\.){3}\d{1,3})|\[?(?P(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?< =:):))\]?|(?P[\w\-.^_]*\w)) "

और उपाय बताएं। 100% सभ्य मैनुअल जो काम करता है। sebres कल आपको पुलिस के पास जाना होगा, किसी ने देखा है कि आपके पास धूम्रपान मारिजुआना है और आप जेल जाते हैं। सवाल यह है कि सेब्रे जेल में क्यों जा रहे हैं, क्योंकि यह वही है: कोई 100% सभ्य व्याख्या नहीं।

लेकिन यहां अंतर यह है कि सेबरे पुलिस में शिकायत करेंगे और यहां के लोग सेबर्स जैसे खराब डेवलपर्स की शिकायत नहीं करेंगे। मैं लोगों को बीएडी डेवलपर्स के लिए डेटाबेस बनाने के लिए वोट देता हूं, हर कोई देखेगा कि हर रोज खराब विकास अधिक होता है। इसलिए कोई फर्क नहीं है कि पुलिस जेल में जा रहे हैं या लोग शिकायत कर रहे हैं। तो सेबर्स के पास लगाने का समय है:
तो आपको इस्तेमाल करना चाहिए(सभी रूपों को संचित करें),(केवल आईपीएस) या(केवल डीएनएस-होस्ट) के बजाय। और उसके बाद गुमराह: BTW। प्रक्षेपनिम्नलिखित रेगेक्स के लिए एक "उपनाम" है:

उदाहरण: सेबर्स को लिखने में कितना समय लगेगा उदाहरण:

1 मिनट। sebres की तुलना में फेल2बान कोड लिखा है। और याद रखें कि यदि आप dovecot-pop3imap को हल करने में विफल रहते हैं तो यह आपके syslog को भर देगा।

bgcomrade 15 अग॰ 2018

👎11