Salut je réveille ce topic… Je regarde du coté de fail2ban car en jettant un oeil a mes log sur postfix j’ai découvert ça
Dec 30 20:29:50 totofr postfix/anvil[4351]: statistics: max connection rate 1/60s for (smtp:195.22.126.241) at Dec 30 20:26:29
Dec 30 20:29:50 totofr postfix/anvil[4351]: statistics: max connection count 1 for (smtp:195.22.126.241) at Dec 30 20:26:29
Dec 30 20:29:50 totofr postfix/anvil[4351]: statistics: max cache size 1 at Dec 30 20:26:29
je me suis un peu cassé la tête et je trouve qu’il est dommage de ne pas avoir de lieu ou centraliser les regex pour fail2ban
Ce n’est pas la première fois que je trouve cet outil très intéressant pour gérer la sécurité.
J’ai donc créé une jail ici /etc/fail2ban/jail.d/maxou-smtp-statistics.conf
[smtpmaxconnection]
enabled = true
port = smtp,ssmtp,submission
filter = maxou-smtp-statistics
logpath = /var/log/mail.log
maxretry = 2
findtime = 900
bantime = 6000
Avec mon filtre de référence ( après le filter = ci dessus )
mon filtre se trouve ici /etc/fail2ban/filter.d/maxou-smtp-statistics.conf
il contient mon regex pour récupérer les noms d’hote que je souhaite bannir
[Definition]
failregex = max connection rate 1/60s for \(smtp:<HOST>.*
ignoreregex =
En le testant dans le log de postfix
root@totofr:/media/disk2/transmission-completed/Partage# fail2ban-regex -v /var/log/mail.log /etc/fail2ban/filter.d/maxou-smtp-statistics.conf
Running tests
=============
Use failregex file : /etc/fail2ban/filter.d/maxou-smtp-statistics.conf
Use log file : /var/log/mail.log
Results
=======
Failregex: 61 total
|- #) [# of hits] regular expression
| 1) [61] max connection rate 1/60s for \(smtp:<HOST>.*
| 80.82.77.83 Mon Dec 19 03:07:30 2016
Je n’ai pas mis la suite il m’a choppé 61 lignes avec IP good job
Et au bout d’une minute le couillon qui s’excitait sur mon postfix se fait bannir.
2016-12-30 20:40:33,697 fail2ban.actions[4742]: WARNING [smtpmaxconnection] Ban 195.22.126.241
Au passage on ne peut pas accéder aux logs de fail2ban coté admin web !