Le 01/12/2015 14:17, andre_deb...@numericable.fr a écrit :
Bonjour,
J'avais lancé un help sur ce sujet et modifié
jail.conf et fail.local
Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
(tentatives de connexions sur des comptes mail) :
"authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=pascal.b@<domain.net> rhost=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
André
Salut,
En fait, le soucis se situe directement dans la façon dont fail2ban
fonctionne.
Le principe est que fail2ban scrute des fichiers de logs à la recherche
de certaines chaînes de caractères. Pour dovecot, c'est le fichier
/var/log/mail.log qui est examiné (cf /etc/fail2ban/jail.conf section
[dovecot]). La chaîne "authentication failure" est normalement bien
repérée et l'adresse IP du client récupérée (cf
/etc/fail2ban/filter.d/dovecot.conf). Cette adresse IP es bloquée (via
iptables) si elle apparaît plus d'un certains nombre de fois pendant un
certain laps de temps (par défaut 3 apparitions en 600 secondes).
Or dovecot a tendance à indiquer les erreurs de connexions ainsi :
authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=pascal.b@<domain.net> rhost=212.83.40.56 : 66 Times
c'est à dire avec une seule ligne indiquant de nombreux échecs
d'authentification (il s'agit peut-être du nombre d'echec au cours d'une
même connexion TCP). Du coup, fail2ban n'enregistre, dans ce cas, qu'une
seule tentative (une seule ligne) et l'IP du client n'est pas
immédiatement bloquée.
Je ne vois pas trop comment changer ce comportement facilement.
Il doit être possible d'arriver à quelque chose d'accpetable en
indiquant "auth_verbose=yes" dans /etc/dovecot/conf.d/10-logging.conf et
en modifiant ou en ajoutant un filtre fai2ban spécifique (les tentatives
d'authentification sont alors toutes loggées, mais le format est
différent de ce que fail2ban recherche en standard avec la configuration
Debian).
J'espère que je n'ai pas été trop confus dans mes explications et je
suis désolé de ne pas pouvoir fournir une solution clé en main…
A+
Jean-Jacques