Hallo,
ich habe fail2ban installiert und möchte damit gerne die Brute-Force-Attacken ein wenig einschränken. Nur leider scheint die Regexp nicht zu greifen...
in /var/log/auth.log steht:
Code:
May 16 10:27:21 server proftpd[23647]: server (85.119.157.254[85.119.157.254]) - USER asdasdasdasd: no such user found from 85.119.157.254 [85.119.157.254] to
192.168.0.3:21
May 16 10:27:23 server proftpd[23647]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:27:33 server proftpd[23649]: server (85.119.157.254[85.119.157.254]) - USER asdasdasdas: no such user found from 85.119.157.254 [85.119.157.254] to
192.168.0.3:21
May 16 10:27:37 server proftpd[23649]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:27:50 server proftpd[23651]: server (85.119.157.254[85.119.157.254]) - USER asdasdsadasdasd: no such user found from 85.119.157.254 [85.119.157.254]
to 192.168.0.3:21
May 16 10:27:53 server proftpd[23651]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:28:02 server proftpd[23653]: server (85.119.157.254[85.119.157.254]) - USER sadasdasd: no such user found from 85.119.157.254 [85.119.157.254] to 19
2.168.0.3:21
May 16 10:28:05 server proftpd[23653]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:30:06 server proftpd[23765]: server (85.119.157.254[85.119.157.254]) - USER asd: no such user found from 85.119.157.254 [85.119.157.254] to 192.168.
0.3:21
und in der /etc/fail2ban/filter.d/proftpd.conf steht folgende regexp:
Code:
failregex = USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$
Code:
server:~# /usr/bin/fail2ban-regex /var/log/auth.log 'USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$'
Sorry, no match
ich habe auch laut diesem Howto eine andere regexp versucht:
Code:
proftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>
Code:
server:~# /usr/bin/fail2ban-regex /var/log/auth.log 'proftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>'
Sorry, no match
Hat jemand fail2ban mit proftpd am laufen? Was ich erreichen möchte ist, die Versuche mit unbekannten Benutzer, sowie mit bekannten Benutzer und falschen Passwort zu unterbinden.
Es handelt sich hierbei um Debian etch...
Code:
server:~# uname -a
Linux server 2.6.18-3-686 #1 SMP Mon Dec 4 16:41:14 UTC 2006 i686 GNU/Linux
Vielen Dank
Christian
Lesezeichen