Debian, proftpd und fail2ban

Gestern habe ich mich um ein kleines Problem mit fail2ban gekümmert, das ich vor mir hergeschoben habe.
Debian liefert vorkonfigurierte Filter für fail2ban mit, die leider nicht für proftpd passen. Die Logfiles des Servers waren voll von chinesischen Einbruchsversuchen auf den FTP-Server.

Nu ist regexp nicht gerade meine Stärke und es bedurfte einiger Fummelei sowie fachlicher Unterstützung durch Disastersmaster. Damit konnte das Problem aber schnell eingekreist und beseitigt werden.
Eigentlich sinds 2 Probleme.. Zum einen passen die regexp nicht auf die Logfiles vom proftpd und zum anderen verweigern die iptables den Dienst, wenn man bei kommaseparierter Portliste kein multiport verwendet.

Da ich aus meiner Google-Suche weiß, daß ich nicht alleine mit dem Problem da stehe, poste ich hier mal meine /etc/fail2ban/filter.d/proftpd.conf:
# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 677 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
# Values: TEXT
#
failregex = \(\S+\[\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+\s*$
\(\S+\[\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password\.\s+$
\(\S+\[\]\)[: -]+ USER \S+ \(Login failed\): No such user found\.\s+$
\(\S+\[\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.\s+$
\(\S+\[\]\)[: -]+ Maximum login attempts \(\d+\) exceeded\s+$

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Vielleicht erspare ich ja dem Einen oder Anderen damit etliche Stunden voller Kopfzerbrechen..


Keine Kommentare

No comments yet.

Kommentare sind nicht erlaubt.