forum.opennet.ru - "Почему не срабатывает Logwatch" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Почему не срабатывает Logwatch"

Форум Открытые системы на сервере (Почта / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Почему не срабатывает Logwatch"	+/–
Сообщение от ck80 (ok) on 21-Дек-11, 07:24
Debian. Postfix+Cyrus. Установлен и настроен fail2ban, но периодически в логах появляется лавина сообщений о неудачной авторизации. По идее, после 5-й неудачной попытки IP злоумышленника должен блокироваться, но этого не происходит. За вчера только 15000 неудачных попыток: --------------------- sasl auth daemon Begin ----- SASL Authentications failed 15011 Time(s) ----------------------------------------------------------- ------------------/var/log/mail.log-------------------- Dec 20 21:57:20 mail saslauthd[7336]: do_auth : auth failure: [user=samantha] [service=pop] [realm=] [mech=sasldb] [reason=Unknown] Dec 20 21:57:20 mail cyrus/pop3[2607]: badlogin: quinedgesrv01.quinedge.co.za [196.3.166.193] plaintext samantha SASL(-13): authentication failure: checkpass failed Dec 20 21:57:25 mail saslauthd[7332]: do_auth : auth failure: [user=samantha] [service=pop] [realm=] [mech=sasldb] [reason=Unknown] Dec 20 21:57:25 mail cyrus/pop3[2609]: badlogin: quinedgesrv01.quinedge.co.za [196.3.166.193] plaintext samantha SASL(-13): authentication failure: checkpass failed Dec 20 21:57:29 mail saslauthd[7336]: do_auth : auth failure: [user=samantha] [service=pop] [realm=] [mech=sasldb] [reason=Unknown] -------------------------------------------------------------- ----------/etc/fail2ban/jail.conf----------------------- [sasl] enabled = true port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s,pop filter = sasl logpath = /var/log/mail.log maxretry = 5 [cyrus-imap] enabled = true port = imap2,imap3,imaps,pop3,pop3s,pop filter = cyrus-imap logpath = /var/log/mail.log maxretry = 5 ----------------------------------------------------------- --------------/etc/fail2ban/filter.d/sasl.conf---------------------------------------- failregex = : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN\|PLAIN\|(?:CRAM\|DIGEST)-MD5) authentication failed: authentication failure$ : badlogin: [-._\w]+\[<HOST>\] plaintext * SASL(-13): authentication failure: checkpass failed$ : badlogin: .\[<HOST>\] plaintext .SASL$-13$: authentication failure: checkpass failed$ : badlogin: .\[<HOST>\] LOGIN \[SASL$-13$: authentication failure: checkpass failed\]$ : badlogin: .\[<HOST>\] (?:CRAM-MD5\|NTLM) \[SASL$-13$: authentication failure: incorrect (?:digest\|NTLM) response\]$ : badlogin: .\[<HOST>\] DIGEST-MD5 \[SASL$-13$: authentication failure: client response doesn't match what we generated\]$ (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN\|PLAIN\|(?:CRAM\|DIGEST)-MD5) authentication failed: \w (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN\|PLAIN\|(?:CRAM\|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/ ])?$ -------------------------------------------------------------------------------------------
Ответить \| Правка \| Cообщить модератору

Оглавление

Почему не срабатывает Logwatch, Дядя_Федор, 12:39 , 21-Дек-11, (1)

Почему не срабатывает Logwatch, ck80, 12:58 , 21-Дек-11, (2)

Почему не срабатывает Logwatch, ck80, 10:15 , 23-Мрт-12, (3)

Почему не срабатывает Logwatch, ck80, 10:43 , 28-Апр-12, (4)

Почему не срабатывает Logwatch, ck80, 14:05 , 05-Май-12, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Почему не срабатывает Logwatch" +/–

Сообщение от Дядя_Федор on 21-Дек-11, 12:39

fail2ban собственные логи может вести. Если его попросить об этом. Например вот так в fail2ban.conf:
loglevel = 4
logtarget = /var/log/fail2ban.log

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Почему не срабатывает Logwatch" +/–

Сообщение от ck80 (ok) on 21-Дек-11, 12:58

> fail2ban собственные логи может вести. Если его попросить об этом. Например вот
> так в fail2ban.conf:
> loglevel = 4
> logtarget = /var/log/fail2ban.log
Да, установлено. Но в нём пусто.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Почему не срабатывает Logwatch" +/–

Сообщение от ck80 (ok) on 23-Мрт-12, 10:15

>> fail2ban собственные логи может вести. Если его попросить об этом. Например вот
>> так в fail2ban.conf:
>> loglevel = 4
>> logtarget = /var/log/fail2ban.log
> Да, установлено. Но в нём пусто.
Попробовал добавить в конфиг слежение за syslog

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Почему не срабатывает Logwatch" +/–

Сообщение от ck80 (ok) on 28-Апр-12, 10:43

>>> fail2ban собственные логи может вести. Если его попросить об этом. Например вот
>>> так в fail2ban.conf:
>>> loglevel = 4
>>> logtarget = /var/log/fail2ban.log
>> Да, установлено. Но в нём пусто.
> Попробовал добавить в конфиг слежение за syslog
После обновления на последнюю версию fail2ban всё само заработало.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Почему не срабатывает Logwatch" +/–

Сообщение от ck80 (ok) on 05-Май-12, 14:05

>>>> fail2ban собственные логи может вести. Если его попросить об этом. Например вот
>>>> так в fail2ban.conf:
>>>> loglevel = 4
>>>> logtarget = /var/log/fail2ban.log
>>> Да, установлено. Но в нём пусто.
>> Попробовал добавить в конфиг слежение за syslog
> После обновления на последнюю версию fail2ban всё само заработало.
Оказалось, что не в этом дело, а в неправильных правах на логфайл mail.log. Fail2Ban ругался, а я не заметил:
ERROR Unable to get stat on /var/log/mail.log
Выставил права, всё заработало.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Почему не срабатывает Logwatch"	+/–
Сообщение от Дядя_Федор on 21-Дек-11, 12:39
fail2ban собственные логи может вести. Если его попросить об этом. Например вот так в fail2ban.conf: loglevel = 4 logtarget = /var/log/fail2ban.log
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Почему не срабатывает Logwatch"	+/–
	Сообщение от ck80 (ok) on 21-Дек-11, 12:58
	> fail2ban собственные логи может вести. Если его попросить об этом. Например вот > так в fail2ban.conf: > loglevel = 4 > logtarget = /var/log/fail2ban.log Да, установлено. Но в нём пусто.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Почему не срабатывает Logwatch"	+/–
	Сообщение от ck80 (ok) on 23-Мрт-12, 10:15
	>> fail2ban собственные логи может вести. Если его попросить об этом. Например вот >> так в fail2ban.conf: >> loglevel = 4 >> logtarget = /var/log/fail2ban.log > Да, установлено. Но в нём пусто. Попробовал добавить в конфиг слежение за syslog
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Почему не срабатывает Logwatch"	+/–
	Сообщение от ck80 (ok) on 28-Апр-12, 10:43
	>>> fail2ban собственные логи может вести. Если его попросить об этом. Например вот >>> так в fail2ban.conf: >>> loglevel = 4 >>> logtarget = /var/log/fail2ban.log >> Да, установлено. Но в нём пусто. > Попробовал добавить в конфиг слежение за syslog После обновления на последнюю версию fail2ban всё само заработало.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Почему не срабатывает Logwatch"	+/–
	Сообщение от ck80 (ok) on 05-Май-12, 14:05
	>>>> fail2ban собственные логи может вести. Если его попросить об этом. Например вот >>>> так в fail2ban.conf: >>>> loglevel = 4 >>>> logtarget = /var/log/fail2ban.log >>> Да, установлено. Но в нём пусто. >> Попробовал добавить в конфиг слежение за syslog > После обновления на последнюю версию fail2ban всё само заработало. Оказалось, что не в этом дело, а в неправильных правах на логфайл mail.log. Fail2Ban ругался, а я не заметил: ERROR Unable to get stat on /var/log/mail.log Выставил права, всё заработало.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору