Ausprobieren kann man sowas übrigens mit:
fail2ban-regex /pfad/zum.log /pfad/zur.confUm fail2ban einen neuen Filter beizubringen muss man eigentlich nur eine jail-Config anlegen und ein (oder auch 2) regex in ein conf-file schreiben.
Die regex gehen in die (zumindest bei debian) /etc/fail2ban/filter.d/FILTERNAME.conf
Hier meine dovecot.conf:
# Fail2Ban configuration file## Author: burner## $Revision: 1 $#[Definition]# Option: failregex# Notes.: regex to match the password failures messages in the logfile. The# host must be matched by a group named "host". The tag "" can# be used for standard IP/hostname matching and is only an alias for# (?:::f{4,6}:)?(?P \S+)# Values: TEXT#failregex = dovecot-auth: pam_unix\(dovecot:auth\): authentication failure;.*rhost= # Option: ignoreregex# Notes.: regex to ignore. If this regex matches, the line is ignored.# Values: TEXT#ignoreregex =
und hie der Teil, der noch in die /etc/fail2ban/jail.conf gehört:
[dovecot]enabled = trueport = imap,imaps,pop3,pop3sfilter = dovecotlogpath = /var/log/auth.log
Wenn alles sauber in die Dateien verteilt wurde, noch ein fail2ban-Neustart, dann sollten dovecot etwas weniger zu tun haben und die Logs wieder etwas sauberer aussehen.
Keine Kommentare:
Kommentar veröffentlichen
gib Deinen Senf zu diesem Beitrag