Fail2ban: dovecot 로그인/인증에 대해 fail2ban을 설정하는 데 문제가 있습니다.

에 만든 2018년 05월 16일 · 4코멘트 · 출처: fail2ban/fail2ban

Fail2Ban 버전 fail2ban/bionic, bionic, 현재 0.10.2-2 모두 [설치됨]
Linux divzero.at 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
우분투 18.04 LTS
[x] OS/배포 메커니즘을 통해 설치된 Fail2Ban
[x] 코드베이스에 추가 외부 패치를 적용하지 않았습니다.
[x] 구성에 대해 일부 사용자 지정이 수행되었습니다(아래에 세부 정보 제공).

문제:

안녕하세요,
실패한 인증/로그인 시도를 금지하려고 합니다. 튜토리얼/하우투가 있지만 일종의 구식 정규식을 사용하는 것 같습니까?

/etc/fail2ban # fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/dovecot-pop3imap.conf

Running tests
=============
Use   failregex filter file : dovecot-pop3imap, basedir: /etc/fail2ban
ERROR: No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*'

https://wiki.dovecot.org/HowTo/Fail2Ban 및 https://www.fail2ban.org/wiki/index.php/Dovecot 도 보고 있었습니다

두 번째 페이지의 예제에서는 오류가 발생하지 않지만 실제로 원하는 작업을 수행하는지 확실하지 않습니다.

재현 단계

dovecot 위키에 설명된 대로 dovecot-pop3imap.conf를 만듭니다.

예상되는 행동

실패한 로그인/인증 시도를 금지합니다.

관찰된 행동

정규식이 작동하지 않습니다.

추가 정보

어제 우분투 서버를 업그레이드했고 새로운 버전의 fail2ban을 설치했습니다. 그 이후로 사용자 정의 구성은 더 이상 작동하지 않습니다.

구성, 덤프 및 기타 유용한 발췌문

/etc/fail2ban/ 구성에 대한 모든 사용자 정의

/var/log/fail2ban.log 파일의 관련 부분:

_ loglevel = 4 fail2ban을 실행하는 동안 얻는 것이 좋습니다 _

2018-05-16 14:20:09,136 fail2ban.filter         [31796]: ERROR   No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*'
2018-05-16 14:20:09,136 fail2ban.transmitter    [31796]: WARNING Command ['set', 'dovecot-pop3imap', 'addfailregex', '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed).*rip=(?P<host>\\S*),.*'] has failed. Received Rege
xException("No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed).*rip=(?P<host>\\S*),.*'",)
2018-05-16 14:20:09,137 fail2ban                [31796]: ERROR   NOK: ("No failure-id group in '(?: pop3-login|imap-login): (?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed).*rip=(?P<host>\\S*),.*'",)

문제의 모니터링된 로그 파일의 관련 줄:

출처

eNTi

가장 유용한 댓글

지금 '싫어요'가 보이시나요...

그리고 개발자 sebres는 이것을 논평합니다 ...

아니, "개발자 sebres는"주석 - 토큰을 사용 <HOST> 대신 (?P<host>\S*) .

정규식 (?P<host>\S*) 는 어쨌든 문서화되지 않은 기능이었습니다(그리고 당신이 아직 태어나지 않은 시대부터)... 그럼에도 불구하고, 일부 문서화되지 않은 기능이 이전에 작동한 경우에도 동일하게 작동한다는 의미는 아닙니다. 최신 버전, 특히 changelog가 상단에 굵은 굵은 글씨로 표시되는 경우:
https://github.com/fail2ban/fail2ban/blob/e2a255d104f947f149cc34b17e778c05175e9f78/ChangeLog#L9 -L22

그래도 다시:

(?P<host>\S*) - 아니요.
<HOST> , <ADDR> , <DNS> - 예.

0.10 이후의 fail2ban이 IPv4와 IPv6을 구분해야 하기 때문에 다시 작성되었습니다.
따라서 (?P<host>\S*) 대한 적절한 정규식 기반 대체는 더 복잡합니다.

<HOST> 일반 태그 외에도 <ADDR> , <IP4> , <IP6> 및 DNS 와 같이 현재 가능한 다른 태그가 많이 있습니다.

실패 ID에 대한 IP로 다른 것을 사용하려면 wiki :: 사용자나 메일 등과 같은 호스트(IP 주소)로 다른 것을 금지하는 방법을 참조하세요

sebres를 작성하는 데 얼마나 많은 시간이 걸릴지 예:

너무 많습니다(무료이기 때문에). 그러나 그(그리고 다른 많은 사람들)는 이미 충분한 예제(위의 위키 참조), docu 및 changelog 항목(아무도 읽지 않음)을 작성했습니다.

마지막으로 중요한 것은 - 영어를 배우려고 하면 첫 번째 댓글의 답을 이해할 수 있을 것입니다.

대신 <HOST> (모든 양식 누적), <ADDR> (ips 전용) 또는 <DNS> (dns-hosts 전용)를 사용해야 합니다.

요약?

sebres 에 2018년 08월 15일

👍8 😄1 👎1

모든 4 댓글

(?P<host>\S*) 값은 더 이상 유효하지 않습니다(0.10의 IPv6 지원 이후, 최신 버전의 fail2ban에는 DNS/IPv4/IPv6에 대한 다른 처리 및 정규 표현식이 있습니다. 일치하는 동안 이 그룹을 구별하기 때문입니다).
따라서 <HOST> (모든 양식 누적), <ADDR> (ips 전용) 또는 <DNS> (dns-hosts 전용)를 대신 사용해야 합니다.

ㅅㅂ. 보간 <HOST> 는 다음 정규식에 대한 "별칭"입니다.

(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))

sebres 에 2018년 05월 24일

👍3 👎1

DISLIKE 버튼은 어디에 있습니까? 우분투를 업데이트 한 후 동일한 문제를 설명합니다.

fail2ban.filter         [8151]: ERROR   No failure-id group in '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*'
2018-08-15 14:19:18,200 fail2ban.transmitter    [8151]: WARNING Command ['multi-set', 'dovecot-pop3imap', 'addfailregex', ['(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(\\d+ authentication attempts).*rip=(?P<host>\\S*),.*', '.*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(tried to use disallowed plaintext auth).*\\s+rip=(?P<host>\\S*),.*', 'pam.*dovecot.*(?:authentication failure).*\\s+rhost=<HOST>(?:\\s+user=.*)?\\s*$']] has failed. Received RegexException("No failure-id group in '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(\\d+ authentication attempts).*rip=(?P<host>\\S*),.*'",)
2018-08-15 14:19:18,200 fail2ban                [8151]: ERROR   NOK: ("No failure-id group in '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \\(auth failed|Aborted login \\(tried to use disabled|Disconnected \\(auth failed|Aborted login \\(\\d+ authentication attempts).*rip=(?P<host>\\S*),.*'",)

그리고 개발자 sebres는 이것을 논평합니다.

(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|\\[?(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):))\\]?|(?P<dns>[\\w\\-.^_]*\\w))

그래서 우리는 개발자 sebres를 이해하지 못했기 때문에 그것을 복구하는 방법을 이해하는 사람이 있습니다. 나쁜 개발자들이 이런 일을 그만둘 때 " (?:(?:::f{4,6}:)?(?P(?:\d{1,3}\.){3}\d{1,3})|\[?(?P(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?< =:):))\]?|(?P[\w\-.^_]*\w)) "

그리고 솔루션을 제공하십시오. 작동하는 100 % 괜찮은 매뉴얼. 내일 경찰에 가야 합니다. 누군가가 당신이 마리화나를 피우는 것을 보고 감옥에 갑니다. 문제는 sebres가 감옥에 가는 이유입니다. 똑같기 때문입니다. 100% 적절한 설명이 없습니다.

그러나 차이점은 sebres는 경찰에 신고하고 PEOPLES는 sebres와 같은 나쁜 개발자를 신고하지 않는다는 것입니다. 나는 사람들이 나쁜 개발자를 위한 데이터베이스를 만들도록 투표합니다. 모두가 매일 나쁜 개발이 높다는 것을 보게 될 것입니다. 따라서 sebres가 경찰 감옥에 가거나 사람들이 불평하는 데 차이가 없습니다. 따라서 sebres는 다음을 넣을 시간이 있습니다.
그래서 당신은 사용해야합니다(모든 형식을 누적),(ip만 해당) 또는(dns-hosts만 해당) 대신. 그리고 그 후 잘못된 안내: BTW. 보간다음 정규식에 대한 "별칭"입니다.

예: sebres를 작성하는 데 시간이 얼마나 걸릴지 예:

1 분. sebres에 비해 fail2ban 코드를 작성했습니다. 그리고 dovecot-pop3imap을 푸는 데 실패하면 시스템 로그가 플러딩된다는 것을 기억하십시오.

bgcomrade 에 2018년 08월 15일

👎11