Fail2ban пропускает некоторые релейные попытки

Question 1

У меня есть некоторые релейные попытки как они в моем mail.log (они составляют 281 попытку подключения меньше чем за 3 минуты):

May 16 04:58:30 MyServer postfix/smtpd[18950]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:30 MyServer postfix/smtpd[18951]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:30 MyServer postfix/smtpd[18951]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:31 MyServer postfix/smtpd[18947]: warning: unknown[xx.yy.zzz.www]: SASL LOGIN authentication failed: authentication failure
May 16 04:58:31 MyServer postfix/smtpd[18952]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:31 MyServer postfix/smtpd[18952]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:31 MyServer postfix/smtpd[18947]: disconnect from unknown[xx.yy.zzz.www]
May 16 04:58:32 MyServer postfix/smtpd[18922]: warning: unknown[xx.yy.zzz.www]: SASL LOGIN authentication failed: authentication failure
May 16 04:58:32 MyServer postfix/smtpd[18947]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:32 MyServer postfix/smtpd[18947]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:33 MyServer postfix/smtpd[18953]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:33 MyServer postfix/smtpd[18953]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:33 MyServer postfix/smtpd[18922]: disconnect from unknown[xx.yy.zzz.www]
May 16 04:58:33 MyServer postfix/smtpd[18948]: warning: unknown[xx.yy.zzz.www]: SASL LOGIN authentication failed: authentication failure
May 16 04:58:33 MyServer postfix/smtpd[18949]: warning: unknown[xx.yy.zzz.www]: SASL LOGIN authentication failed: authentication failure
May 16 04:58:33 MyServer postfix/smtpd[18922]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:33 MyServer postfix/smtpd[18922]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:34 MyServer postfix/smtpd[18948]: disconnect from unknown[xx.yy.zzz.www]
May 16 04:58:34 MyServer postfix/smtpd[18949]: disconnect from unknown[xx.yy.zzz.www]
May 16 04:58:34 MyServer postfix/smtpd[18948]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:34 MyServer postfix/smtpd[18948]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:34 MyServer postfix/smtpd[18949]: warning: xx.yy.zzz.www: hostname xx-yy-zzz-www.network.domain verification failed: No address associated with hostname
May 16 04:58:34 MyServer postfix/smtpd[18949]: connect from unknown[xx.yy.zzz.www]
May 16 04:58:35 MyServer postfix/smtpd[18950]: warning: unknown[xx.yy.zzz.www]: SASL LOGIN authentication failed: authentication failure
May 16 04:58:35 MyServer postfix/smtpd[18951]: warning: unknown[xx.yy.zzz.www]: SASL LOGIN authentication failed: authentication failure
May 16 04:58:35 MyServer postfix/smtpd[18950]: disconnect from unknown[xx.yy.zzz.www]

Я предполагаю фильтр sasl (который включен), должен заботиться о них, но IP никогда не запрещается. Кажется там не идет ни в какое сравнение с failregex выражением в фильтре sasl.conf:

# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 728 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]*={0,2})?$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Какая-либо подсказка на том, что перестало работать здесь? Какой-либо способ исправить проблему?

Править: Более простой вопрос, который мог быть запуском для поиска и устранения неисправностей этой проблемы: выполните в тех предупреждениях ВХОДА В СИСТЕМУ SASL mail.log соответствовать failregex выражению? Я действительно не знаю, как протестировать его, и у меня нет достаточного знания о regex синтаксисе для разработки его самостоятельно.

Заранее спасибо.

Question 2

Последняя часть регулярного выражения не соответствует «неудаче аутентификации»

Кажущаяся ошибочной часть регулярного выражения соответствует строке base64:

(: [A-Za-z0-9+/]*={0,2})?*={0,2})?

Поскольку «ошибка аутентификации» должна Определенно быть заблокированным, я предлагаю заменить эту часть регулярного выражения на:

(: ([A-Za-z0-9+/]*={0,2})?*={0,2})|authentication failure)?

Это дополнение к старому правилу, и будет соответствовать : authentication failure.

Lekensteyn · Answer 1 · 3 June 2011 в 17:40

Последняя часть регулярного выражения не соответствует «неудаче аутентификации»

Кажущаяся ошибочной часть регулярного выражения соответствует строке base64:

(: [A-Za-z0-9+/]*={0,2})?*={0,2})?

Поскольку «ошибка аутентификации» должна Определенно быть заблокированным, я предлагаю заменить эту часть регулярного выражения на:

(: ([A-Za-z0-9+/]*={0,2})?*={0,2})|authentication failure)?

Это дополнение к старому правилу, и будет соответствовать : authentication failure.

Fail2ban пропускает некоторые релейные попытки

1 ответ

Другие вопросы по тегам:

Похожие вопросы: