Le 5 nov. 2015 à 13:09, Vincent Besse <[email protected]> a écrit :
> On Thu, 5 Nov 2015 12:36:03 +0100 > [email protected] wrote: > >> [...] >> >> J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : >> ======= >> authentication failure; logname= uid=0 euid=0 tty=dovecot >> [email protected] >> rhost=192.162.68.120 : 12 Time(s) >> authentication failure; logname= uid=0 euid=0 tty=dovecot >> [email protected] >> rhost=192.162.68.120 : 11 Time(s) >> ... >> ======= >> 12 Times et 11 Times..., alors que maxretry = 3. >> >> André > > Avoir un fichier jail.local est une chose, encore faut-il que fail2ban > sache reconnaître ces lignes et les traiter. Il faut donc avoir > dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour > qu' il ne soit pas lui non plus écrasé par une mise à jour) qui > contienne une regex correspondant à ces logs et que dans la section > [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de > regarder le bon fichier de log. Tu peux tester tes paramètres de configuration ainsi : /usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local) Par exemple ce que j'ai fait pour les tentatives de login sur le Web : /usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local et ils sont restés tels quels après ma dernière mise à jour. Mais je n'ai pas modifié de fichier de conf d'origine… > Vu la gueule des messages ça doit > provenir de /var/log/auth.log mais c' est à confirmer. D'accord avec Vincent :-) > Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose. >

