Так сложилось,что меня конкретно зебали тонны сообщений в логах о превышенных лимитах одновременных подключений к почтовику ( Maximum connection limit reached). Да и всем понятно что с левых адресов с такой кучей коннектов явно идет перебор паролей к почте. Так как я юзаю fail2ban для таких поверхностных защит от брутов,то я написал такой вот доп.конфиг для fail2ban на основе имеющихся:

1)Создаем конфиг: nano /etc/fail2ban/filter.d/pop3d-conlimit.conf и в нем пишем:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
# Modified: RUSUA for pop3d
#
# $Revision: 3$
#

[Definition]

# Error message specified in multiple languages
__errmsg = (?:Maximum connection limit reached for|Erreur d'authentification pour l'utilisateur)

#
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = pop3d: Maximum connection limit reached for ::ffff:<HOST>

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Сохраняем.Если у вас РОР3 демон не pop3d,а например couriertcpd то меняем строчку failregex = pop3d: на ваш демон,например couriertcpd: Maximum connection limit reached for ::ffff:<HOST>. Теперь можно проверить работает ли парсинг нашего лога.Главное что б в почтовом логе были реальные сообщения об этих лимитах.Проверяем:

fail2ban-regex '/var/log/mail.err' '/etc/fail2ban/filter.d/pop3d-conlimit.conf'

Должно быть что то типа:

Summary
=======

Addresses found:
[1]
46.247.242.182 (Mon Jun 24 08:12:33 2013)
46.247.242.182 (Mon Jun 24 09:33:21 2013)
46.247.242.182 (Mon Jun 24 10:07:57 2013)
46.247.242.182 (Mon Jun 24 10:07:58 2013)

2)Редактируем /etc/fail2ban/jail.conf. Добавляем туда след.:

[pop3d-conlimit]
enabled = true
port = pop3,pop3s
filter = pop3d-conlimit
logpath = /var/log/mail.err
maxretry = 5

Сохраняем и перезагружаем: /etc/init.d/fail2ban restart

Далее посматриваем логи фейлтубана на предмет срабатываний))

Добавить комментарий

%d такие блоггеры, как: