[SOLUCIONADO] Fail2ban y expresión regular
Hola Julher. Me funcionó perfecto, muchas gracias por tu ayuda !!! Había que ir a lo más sencillo vergüenza me da :P Muchas gracias nuevamente. Saludos. Diego. El mar., 2 oct. 2018 a las 10:28, escribió: > > El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió: > > Buenas... > > Estoy renegando con fail2ban y las expresiones regulares (no son mi > > fuerte), a ver si alguien me puede tirar una mano. > > Estuve mirando varias paginas y los filtros ya creados en el servicio > > para tomarlos como referencia pero no doy en la tecla. > > Tengo varios logs como estos que genero mediante IPTABLES: > > > > Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado: > > IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00 > > SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119 > > ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN > > URGP=0 > > > > En jail.conf tengo: > > > > [flooddetectado] > > enabled = true > > port = all > > filter = flooddetectado > > logpath = /var/log/messages > > maxretry = 10 > > action = iptables-allports[name=flooddetectado, > > port="22,25,80,443", > > protocol=tcp] > > > > y en los filtros, dentro de flooddetectado.conf : > > > > [Definition] > > failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$ > > Intenta con algo más simple, por ejemplo: > > failregex = Flood detectado: .* SRC= .*$ > > Un saludo > > JulHer > >
Re: Fail2ban y expresión regular
El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió: > Buenas... > Estoy renegando con fail2ban y las expresiones regulares (no son mi > fuerte), a ver si alguien me puede tirar una mano. > Estuve mirando varias paginas y los filtros ya creados en el servicio > para tomarlos como referencia pero no doy en la tecla. > Tengo varios logs como estos que genero mediante IPTABLES: > > Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado: > IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00 > SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119 > ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN > URGP=0 > > En jail.conf tengo: > > [flooddetectado] > enabled = true > port = all > filter = flooddetectado > logpath = /var/log/messages > maxretry = 10 > action = iptables-allports[name=flooddetectado, > port="22,25,80,443", > protocol=tcp] > > y en los filtros, dentro de flooddetectado.conf : > > [Definition] > failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$ Intenta con algo más simple, por ejemplo: failregex = Flood detectado: .* SRC= .*$ Un saludo JulHer
Fail2ban y expresión regular
Buenas... Estoy renegando con fail2ban y las expresiones regulares (no son mi fuerte), a ver si alguien me puede tirar una mano. Estuve mirando varias paginas y los filtros ya creados en el servicio para tomarlos como referencia pero no doy en la tecla. Tengo varios logs como estos que genero mediante IPTABLES: Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado: IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00 SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 En jail.conf tengo: [flooddetectado] enabled = true port = all filter = flooddetectado logpath = /var/log/messages maxretry = 10 action = iptables-allports[name=flooddetectado, port="22,25,80,443", protocol=tcp] y en los filtros, dentro de flooddetectado.conf : [Definition] failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$ ignoreregex = Al correr el test fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/flooddetectado.conf no detecta nada: Running tests = Use failregex line : ^Flood\ detectado:\ IN=eth0\ OUT=\ MAC=*\ SRC=$ Use log file : /var/log/messages Results === Failregex: 0 total Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [77373] MONTH Day Hour:Minute:Second `- Lines: 77373 lines, 0 ignored, 0 matched, 77373 missed Missed line(s): too many to print. Use --print-all-missed to print all 77373 lines También probe con otros filtros: '^%(__prefix_line)Flood\ detectado:\ IN=eth0\ OUT=\ MAC=*\ SRC=$' ^%(__line_prefix)s(\.\d+)?( error:)?\s*Flood\ detectado:\ IN=*\ OUT=\ MAC=*\ SRC=*$ ^( .*)Flood\ detectado:\ IN=*\ OUT=\ MAC=*\ SRC=*$ Pero nada... Si alguien me puede tirar una mano con la expresión regular a utilizar se agradece sobremanera! Muchas gracias. Saludos. Diego. === "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail === Usá Software Libre.
Re: [OT] Actualizar Fail2ban 0.8.4 a 0.8.14 en Debian Squeeze.
Squeeze es muy (muy) viejo a estas alturas, dudo que puedas resolver cuestiones de dependencias mientras sigas con esa versión, pero podés checkear ahí las versiones de fail2ban disponibles y ver qué dependencias exige (incluso bajando el paquete en .deb y probando con gdebi si las dependencias pueden satisfacerse): https://packages.debian.org/search?keywords=fail2ban&searchon=names&suite=all§ion=all Saludos, ! 2017-01-04 22:02 GMT-03:00 Ramses : > Hola a tod@s, > > Tengo un Debían Squeeze con Fail2ban 0.8.4 instalado y quisiera actualizarlo > a alguna versión superior desde los repositorios. > > He cambiado en el sources.list los repositorios de Squeeze a los de "archive" > y he hecho un "apt-get update & apt-get install fail2ban", pero no hay una > versión superior a la 0.8.4. > > ¿Sabe alguien si puedo actualizar Fail2ban a una versión superior a la 0.8.4 > desde algún repositorio y si funcionan las versiones de Fail2ban superiores a > la 0.8.4 en Squeeze?. > > > Saludos y gracias, > > Ramses >
[OT] Actualizar Fail2ban 0.8.4 a 0.8.14 en Debian Squeeze.
Hola a tod@s, Tengo un Debían Squeeze con Fail2ban 0.8.4 instalado y quisiera actualizarlo a alguna versión superior desde los repositorios. He cambiado en el sources.list los repositorios de Squeeze a los de "archive" y he hecho un "apt-get update & apt-get install fail2ban", pero no hay una versión superior a la 0.8.4. ¿Sabe alguien si puedo actualizar Fail2ban a una versión superior a la 0.8.4 desde algún repositorio y si funcionan las versiones de Fail2ban superiores a la 0.8.4 en Squeeze?. Saludos y gracias, Ramses
Re: fail2ban: varias acciones en un mismo "jail".
El Thu, 12 de Mar de 2015, a las 04:44:10PM +, Camaleón dijo: > ¿Has probado con el truco del almendruco? Es decir, si aparentemente la > versión que tienes fail2ban no permite dos comandos iguales (parece que > sólo acepta la última instrucción que ejecuta), podrías crear dos scripts > (¿python?) con distinto nombre y cada uno llamando al mismo comando, a > ver si cuela O:-) Me gusta este programa. Es muy. muy configurable. Lo que sugieres es probable que funcione. Como en realidad lo que quiero es que un mismo filtro se aplique en INPUT y FORWARD lo que he hecho al final es crear una nueva accion basada en la que me interesa que permita pasarle varias cadenas: action = iptables-multiple-chains[name=SSH, port=ssh, protocol=tcp, chain="INPUT FORWARD"] Y he creado esta nueva acción "iptables-multiple-chains" basada en la acción "iptables" así: #v+ [INCLUDES] before = iptables.conf [Definition] actionstart = iptables -N fail2ban- iptables -A fail2ban- -j RETURN for CHAIN in ; do iptables -I $CHAIN -p --dport -j fail2ban-; done actionstop = for CHAIN in ; do iptables -D $CHAIN -p --dport -j fail2ban-; done iptables -F fail2ban- iptables -X fail2ban- #v- Los "for" me permiten hacer lo que quiero. En realidad, quiero algo más complejo, porque mi intención es filtrar las MAC que el servidor DHCP me "chive" que son de smartphones, así que tendré que contruir la acción por completo filtrando por mac y usando ipset (si dispongo de un núcleo en jessie que soporte hash:mac) o usando el módulo mac. Pero el poder utlizar el filtro en INPUT y FORWARD a la vez, ya lo tengo resuelto. Muchas gracias. -- El más seguro bien de la fortuna es no haber tenido vez alguna. --- Alonso de Ercilla --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150312172030.ga12...@cubo.casa
Re: fail2ban: varias acciones en un mismo "jail".
El Thu, 12 Mar 2015 17:29:52 +0100, José Miguel (sio2) escribió: > El Thu, 12 de Mar de 2015, a las 03:37:23PM +, Camaleón dijo: > >>> [...] >> > ¿Será por el formato (indentado)? :-? > > No, no es por eso. (...) >>[ssh-iptables-ipset] >>enabled = true action = smtp.py[dest=ch...@example.com, >>actname=smtp-chris] >> smtp.py[dest=sa...@example.com, actname=smtp-sally] >> *** > > No me sonaba nada eso de actname y he visto que eso que dices es para > una versión posteriori: en el manual de jessie no sale. Ah, carallo. Entonces es que lo habrán implementado en un versión posterior ¿no? Pues qué mala suerte... pues sí, en la 0.9.0: *** https://github.com/fail2ban/fail2ban/releases/tag/0.9.0 Actions Fail2ban actions can now support multiple instances of the same action can be specified in the same jail *** > Tomando, de todos modos, esto como referencia he visto que: > > action = iptables[name=SSH, port=ssh, protocol=tcp, chain=INPUT] > iptables[name=SSH2, port=ssh, protocol=tcp, chain=FORWARD] > > no funciona. Pero: > > action = iptables[name=SSH, port=ssh, protocol=tcp, chain=INPUT] > iptables-multiport[name=SSH2, port=ssh, protocol=tcp, > chain=FORWARD] > > Sí lo hace. Son dos comandos distintos, lo que parece confirmar que se trata de una nueva opción en versiones posteriores. > Mala cosa, porque yo quería usar la misma acción. Al final me tocará > hacer dos jail distintos. ¿Has probado con el truco del almendruco? Es decir, si aparentemente la versión que tienes fail2ban no permite dos comandos iguales (parece que sólo acepta la última instrucción que ejecuta), podrías crear dos scripts (¿python?) con distinto nombre y cada uno llamando al mismo comando, a ver si cuela O:-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.03.12.16.44...@gmail.com
Re: fail2ban: varias acciones en un mismo "jail".
El Thu, 12 de Mar de 2015, a las 03:37:23PM +, Camaleón dijo: >> [...] > > ¿Será por el formato (indentado)? :-? No, no es por eso. >Actions >Each jail can be configured with only a single filter, but may have >multiple actions. By default, the name of a action is the action >filename, and in the case of Python actions, the ".py" file extension > is >stripped. Where multiple of the same action are to be used, the actname >option can be assigned to the action to avoid duplication e.g.: > >[ssh-iptables-ipset] >enabled = true >action = smtp.py[dest=ch...@example.com, actname=smtp-chris] > smtp.py[dest=sa...@example.com, actname=smtp-sally] > *** No me sonaba nada eso de actname y he visto que eso que dices es para una versión posteriori: en el manual de jessie no sale. Tomando, de todos modos, esto como referencia he visto que: action = iptables[name=SSH, port=ssh, protocol=tcp, chain=INPUT] iptables[name=SSH2, port=ssh, protocol=tcp, chain=FORWARD] no funciona. Pero: action = iptables[name=SSH, port=ssh, protocol=tcp, chain=INPUT] iptables-multiport[name=SSH2, port=ssh, protocol=tcp, chain=FORWARD] Sí lo hace. Mala cosa, porque yo quería usar la misma acción. Al final me tocará hacer dos jail distintos. Muchas gracias. -- Vine a desembuchar y desembucho. --- Muñoz Seca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150312162952.ga8...@cubo.casa
Re: fail2ban: varias acciones en un mismo "jail".
El Thu, 12 Mar 2015 15:08:10 +, Camaleón escribió: > El Wed, 11 Mar 2015 22:28:12 +0100, José Miguel (sio2) escribió: > >> Tengo instalado en jessie fail2ban (0.8.13) y he intentado ejecutar dos >> acciones dentro de un mismo jail. Básicamente lo que he hecho es crear >> un jail.local con el siguiente contenido: >> >> #v+ >> [ssh] >> >> action = iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=INPUT] >> iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=FORWARD] >> #v- >> >> Lo que esperaba es que se creara dos reglas, una en la cadena INPUT y otra en >> la cadena FORWARD, pero sólo se ha creado una en FORWARD: > > (...) > > Interesante... > > ¿Será por el formato (indentado)? :-? > > http://sourceforge.net/p/fail2ban/mailman/message/32127985/ (...) Y también he visto esto en el manual¹ (no mencionada nada del formato): *** Actions Each jail can be configured with only a single filter, but may have multiple actions. By default, the name of a action is the action filename, and in the case of Python actions, the ".py" file extension is stripped. Where multiple of the same action are to be used, the actname option can be assigned to the action to avoid duplication e.g.: [ssh-iptables-ipset] enabled = true action = smtp.py[dest=ch...@example.com, actname=smtp-chris] smtp.py[dest=sa...@example.com, actname=smtp-sally] *** Es decir, parece indicar que hay que usar la variable "actname=reglaN" para identificar unívocamente dos acciones que son iguales :-? ¹http://manned.org/jail.conf.5 Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.03.12.15.37...@gmail.com
Re: fail2ban: varias acciones en un mismo "jail".
El Wed, 11 Mar 2015 22:28:12 +0100, José Miguel (sio2) escribió: > Tengo instalado en jessie fail2ban (0.8.13) y he intentado ejecutar dos > acciones dentro de un mismo jail. Básicamente lo que he hecho es crear > un jail.local con el siguiente contenido: > > #v+ > [ssh] > > action = iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=INPUT] > iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=FORWARD] > #v- > > Lo que esperaba es que se creara dos reglas, una en la cadena INPUT y otra en > la cadena FORWARD, pero sólo se ha creado una en FORWARD: (...) Interesante... ¿Será por el formato (indentado)? :-? http://sourceforge.net/p/fail2ban/mailman/message/32127985/ *** Re: [Fail2ban-users] multiple actions per rule? From: Thauvin, Blaise - 2014-03-21 09:38:36 Attachments: Message as HTML Hi, You can, but the syntax is: action = iptables[name=SSH, port=ssh, protocol=tcp] other-action[name=SSH, port=ssh, protocol=tcp] Hope this helps, Blaise *** Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.03.12.15.08...@gmail.com
fail2ban: varias acciones en un mismo "jail".
Saludos a los listeros: Tengo instalado en jessie fail2ban (0.8.13) y he intentado ejecutar dos acciones dentro de un mismo jail. Básicamente lo que he hecho es crear un jail.local con el siguiente contenido: #v+ [ssh] action = iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=INPUT] iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=FORWARD] #v- Lo que esperaba es que se creara dos reglas, una en la cadena INPUT y otra en la cadena FORWARD, pero sólo se ha creado una en FORWARD: #v+ # iptables -vnL FORWARD Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 #v- He probado a ponerle dos nombres distintos a la cadena donde se escriben los vetos (que pasarán a ser dos cadenas distintos): #v+ action = iptables-multiport[name=SSH, port=ssh, protocol=tcp, chain=INPUT] iptables-multiport[name=SSH2, port=ssh, protocol=tcp, chain=FORWARD] #v- Pero tampoco: sigue creándose sólo la regla de la cadena FORWARD. Mirando en internet he visto que podían incluirse varias acciones, aunque no sean exactamente las mismas que las de mi prueba. ¿Se me escapa algo? -- Un bel morir tutta una vita honora. --- Francisco Petrarca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150311212812.ga25...@cubo.casa
[SOLUCIONADO] Re: Imposible hacer funcionar fail2ban con owncloud en Debian Wheezy
El día 3 de marzo de 2015, 14:54, Ramses escribió: > El 03/03/2015, a las 13:29, Maykel Franco escribió: > >> Buenas, he querido meter una capa más de seguridad a owncloud en mi >> casa. He realizado lo siguiente para hacerlo funcionar con owncloud. >> >> He copiado el fichero jail.conf a jail.local puesto que por lo visto >> cuando fail2ban actualiza, te machaca el fichero jail.conf. >> >> Una vez realizado esto, he añadido lo siguiente al fichero jail.local: >> >> [owncloud-login] >> enabled = true >> port = 8000 >> filter= owncloud-login >> logpath = /var/lib/owncloud/data/owncloud.log >> maxretry = 3 > > ¿Porque te falta la Acción? > > > Saludos, > > Ramses > >> Lo que me quedaba, era meter el filtro en filter.d, llamado >> owncloud-login.conf (importante el .conf si no no te lo coge y da >> error fail2ban, lógicamente). >> >> >> [Definition] >> failregex={"reqId":".*","remoteAddr":".*","app":"core","message":"Login >> failed: '.*' \(Remote IP: '', X-Forwarded-For: >> '.*'\)","level":2,"time":".*"} >> >> Si esto lo pruebo con el comando fail2ban-regex me funciona correctamente: >> >> Running tests >> = >> >> Use regex file : /etc/fail2ban/filter.d/owncloud-login.conf >> Use log file : /var/lib/owncloud/data/owncloud.log >> >> >> Results >> === >> >> Failregex >> |- Regular expressions: >> | [1] {"reqId":".*","remoteAddr":".*","app":"core","message":"Login >> failed: '.*' \(Remote IP: '', X-Forwarded-For: >> '.*'\)","level":2,"time":".*"} >> | >> `- Number of matches: >> [1] 95 match(es) >> >> Ignoreregex >> |- Regular expressions: >> | >> `- Number of matches: >> >> Summary >> === >> >> Addresses found: >> [1] >>192.168.0.33 (Mon Mar 02 15:31:12 2015) >>192.168.0.33 (Mon Mar 02 17:19:57 2015) >>192.168.0.33 (Mon Mar 02 17:20:04 2015) >>192.168.0.33 (Tue Mar 03 09:01:15 2015) >>192.168.0.33 (Tue Mar 03 09:01:19 2015) >>192.168.0.33 (Tue Mar 03 09:01:23 2015) >>192.168.0.33 (Tue Mar 03 09:01:28 2015) >>192.168.0.33 (Tue Mar 03 10:24:06 2015) >>192.168.0.33 (Tue Mar 03 10:24:17 2015) >>192.168.0.33 (Tue Mar 03 10:24:33 2015) >>192.168.0.33 (Tue Mar 03 10:37:44 2015) >>192.168.0.33 (Tue Mar 03 10:42:25 2015) >>192.168.0.33 (Tue Mar 03 10:42:31 2015) >>192.168.0.33 (Tue Mar 03 10:42:35 2015) >>192.168.0.33 (Tue Mar 03 10:42:37 2015) >>192.168.0.33 (Tue Mar 03 10:42:39 2015) >>192.168.0.33 (Tue Mar 03 10:42:42 2015) >>192.168.0.33 (Tue Mar 03 10:42:43 2015) >>192.168.0.33 (Tue Mar 03 10:42:54 2015) >>192.168.0.33 (Tue Mar 03 10:42:55 2015) >>192.168.0.33 (Tue Mar 03 10:42:57 2015) >>192.168.0.33 (Tue Mar 03 10:42:58 2015) >>192.168.0.33 (Tue Mar 03 10:42:59 2015) >>192.168.0.33 (Tue Mar 03 10:43:00 2015) >>192.168.0.33 (Tue Mar 03 10:45:33 2015) >>192.168.0.33 (Tue Mar 03 10:45:36 2015) >>192.168.0.33 (Tue Mar 03 10:45:37 2015) >>192.168.0.33 (Tue Mar 03 10:45:39 2015) >>192.168.0.33 (Tue Mar 03 10:45:41 2015) >>192.168.0.33 (Tue Mar 03 10:45:42 2015) >>192.168.0.33 (Tue Mar 03 10:45:44 2015) >>192.168.0.33 (Tue Mar 03 10:45:45 2015) >>192.168.0.33 (Tue Mar 03 10:45:47 2015) >>192.168.0.33 (Tue Mar 03 10:58:55 2015) >>192.168.0.33 (Tue Mar 03 10:58:57 2015) >>192.168.0.33 (Tue Mar 03 10:58:59 2015) >>192.168.0.33 (Tue Mar 03 10:59:01 2015) >>192.168.0.33 (Tue Mar 03 10:59:05 2015) >>192.168.0.33 (Tue Mar 03 10:59:06 2015) >>192.168.0.33 (Tue Mar 03 10:59:09 2015) >>192.168.0.33 (Tue Mar 03 11:06:32 2015) >>192.168.0.33 (Tue Mar 03 11:06:38 2015) >>192.168.0.33 (Tue Mar 03 11:06:40 2015) >>192.168.0.33 (Tue Mar 03 11:06:41 2015) >>192.168.0.33 (Tue Mar 03 11:06:43 2015) >>192.168.0.33 (Tue Mar 03 11:06:44 2015) >>192.168.0.33 (Tue Mar 03 11:06:46 2015) >>192.168.0.33 (Tue Mar 03 11:07:11 2015) >>192.168.0.33 (Tue Mar 03 11:07:13 2015) >>192.168.0.33 (Tue Mar 03 11:07:14 2015) >>192.168.0.33 (Tue Mar 03 11:08:45 2015) >>192.16
[SOLUCIONADO] Re: Imposible hacer funcionar fail2ban con owncloud en Debian Wheezy
2015-03-03 13:29 GMT+01:00 Maykel Franco : > Buenas, he querido meter una capa más de seguridad a owncloud en mi > casa. He realizado lo siguiente para hacerlo funcionar con owncloud. > > He copiado el fichero jail.conf a jail.local puesto que por lo visto > cuando fail2ban actualiza, te machaca el fichero jail.conf. > > Una vez realizado esto, he añadido lo siguiente al fichero jail.local: > > [owncloud-login] > enabled = true > port = 8000 > filter= owncloud-login > logpath = /var/lib/owncloud/data/owncloud.log > maxretry = 3 > > > Lo que me quedaba, era meter el filtro en filter.d, llamado > owncloud-login.conf (importante el .conf si no no te lo coge y da > error fail2ban, lógicamente). > > > [Definition] > failregex={"reqId":".*","remoteAddr":".*","app":"core","message":"Login > failed: '.*' \(Remote IP: '', X-Forwarded-For: > '.*'\)","level":2,"time":".*"} > > Si esto lo pruebo con el comando fail2ban-regex me funciona correctamente: > > Running tests > = > > Use regex file : /etc/fail2ban/filter.d/owncloud-login.conf > Use log file : /var/lib/owncloud/data/owncloud.log > > > Results > === > > Failregex > |- Regular expressions: > | [1] {"reqId":".*","remoteAddr":".*","app":"core","message":"Login > failed: '.*' \(Remote IP: '', X-Forwarded-For: > '.*'\)","level":2,"time":".*"} > | > `- Number of matches: >[1] 95 match(es) > > Ignoreregex > |- Regular expressions: > | > `- Number of matches: > > Summary > === > > Addresses found: > [1] > 192.168.0.33 (Mon Mar 02 15:31:12 2015) > 192.168.0.33 (Mon Mar 02 17:19:57 2015) > 192.168.0.33 (Mon Mar 02 17:20:04 2015) > 192.168.0.33 (Tue Mar 03 09:01:15 2015) > 192.168.0.33 (Tue Mar 03 09:01:19 2015) > 192.168.0.33 (Tue Mar 03 09:01:23 2015) > 192.168.0.33 (Tue Mar 03 09:01:28 2015) > 192.168.0.33 (Tue Mar 03 10:24:06 2015) > 192.168.0.33 (Tue Mar 03 10:24:17 2015) > 192.168.0.33 (Tue Mar 03 10:24:33 2015) > 192.168.0.33 (Tue Mar 03 10:37:44 2015) > 192.168.0.33 (Tue Mar 03 10:42:25 2015) > 192.168.0.33 (Tue Mar 03 10:42:31 2015) > 192.168.0.33 (Tue Mar 03 10:42:35 2015) > 192.168.0.33 (Tue Mar 03 10:42:37 2015) > 192.168.0.33 (Tue Mar 03 10:42:39 2015) > 192.168.0.33 (Tue Mar 03 10:42:42 2015) > 192.168.0.33 (Tue Mar 03 10:42:43 2015) > 192.168.0.33 (Tue Mar 03 10:42:54 2015) > 192.168.0.33 (Tue Mar 03 10:42:55 2015) > 192.168.0.33 (Tue Mar 03 10:42:57 2015) > 192.168.0.33 (Tue Mar 03 10:42:58 2015) > 192.168.0.33 (Tue Mar 03 10:42:59 2015) > 192.168.0.33 (Tue Mar 03 10:43:00 2015) > 192.168.0.33 (Tue Mar 03 10:45:33 2015) > 192.168.0.33 (Tue Mar 03 10:45:36 2015) > 192.168.0.33 (Tue Mar 03 10:45:37 2015) > 192.168.0.33 (Tue Mar 03 10:45:39 2015) > 192.168.0.33 (Tue Mar 03 10:45:41 2015) > 192.168.0.33 (Tue Mar 03 10:45:42 2015) > 192.168.0.33 (Tue Mar 03 10:45:44 2015) > 192.168.0.33 (Tue Mar 03 10:45:45 2015) > 192.168.0.33 (Tue Mar 03 10:45:47 2015) > 192.168.0.33 (Tue Mar 03 10:58:55 2015) > 192.168.0.33 (Tue Mar 03 10:58:57 2015) > 192.168.0.33 (Tue Mar 03 10:58:59 2015) > 192.168.0.33 (Tue Mar 03 10:59:01 2015) > 192.168.0.33 (Tue Mar 03 10:59:05 2015) > 192.168.0.33 (Tue Mar 03 10:59:06 2015) > 192.168.0.33 (Tue Mar 03 10:59:09 2015) > 192.168.0.33 (Tue Mar 03 11:06:32 2015) > 192.168.0.33 (Tue Mar 03 11:06:38 2015) > 192.168.0.33 (Tue Mar 03 11:06:40 2015) > 192.168.0.33 (Tue Mar 03 11:06:41 2015) > 192.168.0.33 (Tue Mar 03 11:06:43 2015) > 192.168.0.33 (Tue Mar 03 11:06:44 2015) > 192.168.0.33 (Tue Mar 03 11:06:46 2015) > 192.168.0.33 (Tue Mar 03 11:07:11 2015) > 192.168.0.33 (Tue Mar 03 11:07:13 2015) > 192.168.0.33 (Tue Mar 03 11:07:14 2015) > 192.168.0.33 (Tue Mar 03 11:08:45 2015) > 192.168.0.33 (Tue Mar 03 11:08:47 2015) > 192.168.0.33 (Tue Mar 03 11:08:48 2015) > 192.168.0.33 (Tue Mar 03 11:08:50 2015) > 192.168.0.33 (Tue Mar 03 11:08:51 2015) > 192.168.0.33 (Tue Mar 03 11:08:53 2015) > 192.168.0.33 (Tue Mar 03 11:14:15 2015) > 192.168.0.33 (Tue Mar 03 11:14:17 2015) > 192.168.0.33 (Tue Mar 03 11:14:18 2015) > 192.168.0.33 (Tue Mar 03 12:09:13 2015) > 192.168.0.33 (Tue Mar 03 12:09:16 2015) > 192.168.0.33 (Tue Mar 03 12:09:22 2015)
Imposible hacer funcionar fail2ban con owncloud en Debian Wheezy
Buenas, he querido meter una capa más de seguridad a owncloud en mi casa. He realizado lo siguiente para hacerlo funcionar con owncloud. He copiado el fichero jail.conf a jail.local puesto que por lo visto cuando fail2ban actualiza, te machaca el fichero jail.conf. Una vez realizado esto, he añadido lo siguiente al fichero jail.local: [owncloud-login] enabled = true port = 8000 filter= owncloud-login logpath = /var/lib/owncloud/data/owncloud.log maxretry = 3 Lo que me quedaba, era meter el filtro en filter.d, llamado owncloud-login.conf (importante el .conf si no no te lo coge y da error fail2ban, lógicamente). [Definition] failregex={"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '', X-Forwarded-For: '.*'\)","level":2,"time":".*"} Si esto lo pruebo con el comando fail2ban-regex me funciona correctamente: Running tests = Use regex file : /etc/fail2ban/filter.d/owncloud-login.conf Use log file : /var/lib/owncloud/data/owncloud.log Results === Failregex |- Regular expressions: | [1] {"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '', X-Forwarded-For: '.*'\)","level":2,"time":".*"} | `- Number of matches: [1] 95 match(es) Ignoreregex |- Regular expressions: | `- Number of matches: Summary === Addresses found: [1] 192.168.0.33 (Mon Mar 02 15:31:12 2015) 192.168.0.33 (Mon Mar 02 17:19:57 2015) 192.168.0.33 (Mon Mar 02 17:20:04 2015) 192.168.0.33 (Tue Mar 03 09:01:15 2015) 192.168.0.33 (Tue Mar 03 09:01:19 2015) 192.168.0.33 (Tue Mar 03 09:01:23 2015) 192.168.0.33 (Tue Mar 03 09:01:28 2015) 192.168.0.33 (Tue Mar 03 10:24:06 2015) 192.168.0.33 (Tue Mar 03 10:24:17 2015) 192.168.0.33 (Tue Mar 03 10:24:33 2015) 192.168.0.33 (Tue Mar 03 10:37:44 2015) 192.168.0.33 (Tue Mar 03 10:42:25 2015) 192.168.0.33 (Tue Mar 03 10:42:31 2015) 192.168.0.33 (Tue Mar 03 10:42:35 2015) 192.168.0.33 (Tue Mar 03 10:42:37 2015) 192.168.0.33 (Tue Mar 03 10:42:39 2015) 192.168.0.33 (Tue Mar 03 10:42:42 2015) 192.168.0.33 (Tue Mar 03 10:42:43 2015) 192.168.0.33 (Tue Mar 03 10:42:54 2015) 192.168.0.33 (Tue Mar 03 10:42:55 2015) 192.168.0.33 (Tue Mar 03 10:42:57 2015) 192.168.0.33 (Tue Mar 03 10:42:58 2015) 192.168.0.33 (Tue Mar 03 10:42:59 2015) 192.168.0.33 (Tue Mar 03 10:43:00 2015) 192.168.0.33 (Tue Mar 03 10:45:33 2015) 192.168.0.33 (Tue Mar 03 10:45:36 2015) 192.168.0.33 (Tue Mar 03 10:45:37 2015) 192.168.0.33 (Tue Mar 03 10:45:39 2015) 192.168.0.33 (Tue Mar 03 10:45:41 2015) 192.168.0.33 (Tue Mar 03 10:45:42 2015) 192.168.0.33 (Tue Mar 03 10:45:44 2015) 192.168.0.33 (Tue Mar 03 10:45:45 2015) 192.168.0.33 (Tue Mar 03 10:45:47 2015) 192.168.0.33 (Tue Mar 03 10:58:55 2015) 192.168.0.33 (Tue Mar 03 10:58:57 2015) 192.168.0.33 (Tue Mar 03 10:58:59 2015) 192.168.0.33 (Tue Mar 03 10:59:01 2015) 192.168.0.33 (Tue Mar 03 10:59:05 2015) 192.168.0.33 (Tue Mar 03 10:59:06 2015) 192.168.0.33 (Tue Mar 03 10:59:09 2015) 192.168.0.33 (Tue Mar 03 11:06:32 2015) 192.168.0.33 (Tue Mar 03 11:06:38 2015) 192.168.0.33 (Tue Mar 03 11:06:40 2015) 192.168.0.33 (Tue Mar 03 11:06:41 2015) 192.168.0.33 (Tue Mar 03 11:06:43 2015) 192.168.0.33 (Tue Mar 03 11:06:44 2015) 192.168.0.33 (Tue Mar 03 11:06:46 2015) 192.168.0.33 (Tue Mar 03 11:07:11 2015) 192.168.0.33 (Tue Mar 03 11:07:13 2015) 192.168.0.33 (Tue Mar 03 11:07:14 2015) 192.168.0.33 (Tue Mar 03 11:08:45 2015) 192.168.0.33 (Tue Mar 03 11:08:47 2015) 192.168.0.33 (Tue Mar 03 11:08:48 2015) 192.168.0.33 (Tue Mar 03 11:08:50 2015) 192.168.0.33 (Tue Mar 03 11:08:51 2015) 192.168.0.33 (Tue Mar 03 11:08:53 2015) 192.168.0.33 (Tue Mar 03 11:14:15 2015) 192.168.0.33 (Tue Mar 03 11:14:17 2015) 192.168.0.33 (Tue Mar 03 11:14:18 2015) 192.168.0.33 (Tue Mar 03 12:09:13 2015) 192.168.0.33 (Tue Mar 03 12:09:16 2015) 192.168.0.33 (Tue Mar 03 12:09:22 2015) 192.168.0.33 (Tue Mar 03 12:09:27 2015) 192.168.0.33 (Tue Mar 03 12:09:33 2015) 192.168.0.33 (Tue Mar 03 12:09:35 2015) 192.168.0.33 (Tue Mar 03 12:09:58 2015) 192.168.0.33 (Tue Mar 03 12:10:05 2015) 192.168.0.33 (Tue Mar 03 12:10:32 2015) 192.168.0.33 (Tue Mar 03 12:10:34 2015) 192.168.0.33 (Tue Mar 03 12:14:14 2015) 192.168.0.33 (Tue Mar 03 12:14:17 2015) 192.168.0.33 (Tue Mar 03 12:14:19 2015) 192.168.0.33 (Tue Mar 03 12:14:21 2015) 192.168.0.33 (Tue Mar 03 12:14:55 2015) 192.168.0.33 (Tue Mar 03 12:15:02 2015) 192.168.0.33 (Tue Mar 03 12:15:04 2015) 1
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El Wed, 12 Mar 2014 15:56:21 -0300, Ricardo escribió: > El 12 de marzo de 2014, 14:21, Camaleón escribió: (...) >>> lo que llego a entender creo dice remplazar /usr/share/fail2ban a >>> /usr/bin, y /etc/fail2ban >>> >>> estoy en lo correcto? >> >> Lo que dice es que si has instalado el aplicativo siguiendo los pasos >> que indica en el README las rutas son las que te dicen, que difieren de >> las tuyas. >> > Hola, en mail anterior mencione esta: > > root@mail:~# ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client > root@mail:~# ln -s /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server > > para tener los binarios. alo mejor que tengo que cambiar a ln -s > /usr/local/bin/fail2ban-client /usr/bin/fail2ban Para comprobar si funciona el enlace que has creado, ejecuta: /usr/bin/fail2ban-client > No lo se, me pego una vuelta por la lista de fail2ban aver que me dicen. > si lo resuelvo voy comentando.. No te olvides de revisar el script de inicio porque me ha parecido leer que has copiado uno que era para ¿opensuse? y no estoy segura de que sea compatible 100% en una debian. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.03.13.14.22...@gmail.com
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El 12/03/2014 09:11 a.m., Ricardo escribió: El 11 de marzo de 2014, 23:06, Ariel Martin Bellio escribió: El 11/03/2014 10:56 p.m., Ricardo escribió: Hola lista Pido su ayuda instalé Fail2ban de forma manual para tenerlo lo mas actualizado ya que trae alguna scripts interesante, en el repo encuento una Version: 0.8.6-3wheezy2 antigua, en la web oficial decía estable la version 0.8.12 por eso me puse a instalar de forma manual al parecer metí la patota, a ver si me pueden echar un lazo a continuación detallo los comandos que ejecute: root@mail:~# mkdir fail2ban root@mail:~# cd fail2ban/ root@mail:~# wget https://sarasasarasa/fail2ban-0.8.12.tar.gz root@mail:~# tar xzf fail2ban-0.8.12.tar.gz root@mail:~# cd fail2ban-0.8.12/ root@mail:~# python setup.py install root@mail:~# fail2ban-client -h Segun el README.md dice que ejecute fail2ban-client -h y lo hice me tiro una serie de comandos disponibles root@mail:~# /usr/local/bin/fail2ban-client -v start sale este INFO Using socket file /var/run/fail2ban/fail2ban.sock INFO [# ] Waiting on the server...2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting Fail2ban v0.8.12 2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting in daemon mode root@mail:~# /usr/local/bin/fail2ban-client -v stop INFO Using socket file /var/run/fail2ban/fail2ban.sock Shutdown successful hasta aquí fenómeno creo que esta instalado correctamente, me guié de algunos manuales de [1] para crear el inicio root@mail:~# cd files/ ahí en files/ está el suse-initd ? root@mail:~# cp suse-initd /etc/init.d/fail2ban root@mail:~# chmod 755 /etc/init.d/fail2ban el archivo suse-initd lo renombrás a fail2ban? Hola Ariel, si escribí mal las rutas aquí te paso lo que tenia que haber enviado. root@mail:~# mkdir fail2ban root@mail:~# cd fail2ban/ root@mail:~/fail2ban# wget https://sarasasarasa/fail2ban-0.8.12.tar.gz root@mail:~/fail2ban# tar xzf fail2ban-0.8.12.tar.gz root@mail:~/fail2ban# cd fail2ban-0.8.12/ root@mail:~/fail2ban/fail2ban-0.8.12# python setup.py install root@mail:~/fail2ban/fail2ban-0.8.12# fail2ban-client -h root@mail:~# /usr/local/bin/fail2ban-client -v start root@mail:~# /usr/local/bin/fail2ban-client -v stop Aquí estoy haciendo es creando para iniciar como dice en [1] root@mail:~/fail2ban/fail2ban-0.8.12# cd files/ root@mail:~/fail2ban/fail2ban-0.8.12/files# cp suse-initd /etc/init.d/fail2ban root@mail:~/fail2ban/fail2ban-0.8.12/files# chmod 755 /etc/init.d/fail2ban ejecutando para que inicie root@mail:~# /etc/init.d/fail2ban start /usr/bin/fail2ban-client not installed Fijate que dice: /usr/bin/fail2ban-client not installed y arriba ponias: root@mail:~# /usr/local/bin/fail2ban-client -v start root@mail:~# /usr/local/bin/fail2ban-client -v stop están mal las rutas... probaste con? root@mail:~# cp /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client me tira el mensajito que no esta instalado bueno sigo buscando en foro.[2] dice que crear (i made a symlink to fail2ban-client) root@mail:~# ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client root@mail:~# ln -s /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server a ver si inicia ahora probando root@mail:~# /etc/init.d/fail2ban start /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status yo pienso que la instalación manual en cualquier distribución de Linux, deberia ser como indica lo antes mencionado.. saludos [1]http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Installing_from_sources_on_a_GNU.2FLinux_system p.d: por favor respondé a la lista <>
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El 12 de marzo de 2014, 14:21, Camaleón escribió: > El Wed, 12 Mar 2014 13:56:35 -0300, Ricardo escribió: > >> El 12 de marzo de 2014, 12:31, Camaleón escribió: > > (...) > >>> Fail2Ban parece un paquete genérico, vamos, que podrías descargar la >>> versión compilada (.deb) que hay en Sid (8.11), no sé si ésta será de >>> tu agrado. >>> >>> >> Hola Camaleón, gracias por responder. para mi ya es un poco complicado >> pero investigando en San Google todo se puede, opte por esta opción por >> que en otra distro lo instale y me funciono y por que en Debian, >> se supone que en el articulo publicado es la instalación correcta digo >> que se yo! > > Ya, bueno... pero otras distros no son debian :-), vamos, que cada una > usa distintos sistemas de arranque y no siempre lo que vale para una > sirve para otra, hay que andarse con cuidado en eso y saber "adaptar" a > tu distribución lo que se dice que funciona para otra. > > (...) > >>> Te dice que el paquete/binario "-client" no está instalado ¿lo está? >>> >>> which fail2ban-client >>> >> root@mail:~/fail2ban/fail2ban-0.8.12/files# >> which fail2ban-client >> /usr/local/bin/fail2ban-client >> root@mail:~/fail2ban/fail2ban-0.8.12/files# > > Vale. > >>> Y si lo tienes, ¿está iniciado? >> >> si a ver... >> >> root@mail:~/fail2ban/fail2ban-0.8.12/files# >> /usr/local/bin/fail2ban-client status >> Status |- Number of jail: 0 >> `- Jail list: >> root@mail:~/fail2ban/fail2ban-0.8.12/files# >> >> lo tengo iniciado.. > > Okay. > >> Lo que quiero es que el scripts es en /etc/init.d/.. para bajar y subir >> el servicio eso es lo que no consigo. >> >> root@mail:~/fail2ban/fail2ban-0.8.12/files# /etc/init.d/fail2ban restart >> /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status >> root@mail:~/fail2ban/fail2ban-0.8.12/files# >> >> cal/bin/fail2ban-server /usr/bin/fail2ban-server >>> >> (...) >>> >>> Hum... ¿estás seguro de que eso es correcto? Revisa las instrucciones >>> (archivo README) quizá haya dos aplicativos diferenciados (cliente y >>> servidor) y ambos tienen que estar en ejecución :-? >>> >>> >> uhm a ver que dice el READAME >> >> To install, just do: >> >> tar xvfj fail2ban-0.8.12.tar.bz2 >> cd fail2ban-0.8.12 >> python setup.py >> install >> >> This will install Fail2Ban into /usr/share/fail2ban. The executable >> scripts are placed into /usr/bin, and configuration under /etc/fail2ban. > > > Hum... primera diferencia. Tu binario está instalado en "/usr/local/bin/" > no en "/usr/bin", quizá por eso el script de inicio no lo encuentre. > > Comprueba este punto, revisa el script que tienes en "/etc/init.d/ > fail2ban" a ver dónde busca el binario. > >> Fail2Ban should be correctly installed now. Just type: >> >> fail2ban-client -h >> >> to see if everything is alright. You should always use fail2ban-client >> and never call fail2ban-server directly. >> >> lo que llego a entender creo dice remplazar /usr/share/fail2ban a >> /usr/bin, y /etc/fail2ban >> >> estoy en lo correcto? > > Lo que dice es que si has instalado el aplicativo siguiendo los pasos que > indica en el README las rutas son las que te dicen, que difieren de las > tuyas. > Hola, en mail anterior mencione esta: root@mail:~# ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client root@mail:~# ln -s /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server para tener los binarios. alo mejor que tengo que cambiar a ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban No lo se, me pego una vuelta por la lista de fail2ban aver que me dicen. si lo resuelvo voy comentando.. Saludos y gracias Riardo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAH45Fxd44DJYsThBN+bí_8WUcUaAKOpZc_sKht-k=rbrq...@mail.gmail.com
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El Wed, 12 Mar 2014 13:56:35 -0300, Ricardo escribió: > El 12 de marzo de 2014, 12:31, Camaleón escribió: (...) >> Fail2Ban parece un paquete genérico, vamos, que podrías descargar la >> versión compilada (.deb) que hay en Sid (8.11), no sé si ésta será de >> tu agrado. >> >> > Hola Camaleón, gracias por responder. para mi ya es un poco complicado > pero investigando en San Google todo se puede, opte por esta opción por > que en otra distro lo instale y me funciono y por que en Debian, > se supone que en el articulo publicado es la instalación correcta digo > que se yo! Ya, bueno... pero otras distros no son debian :-), vamos, que cada una usa distintos sistemas de arranque y no siempre lo que vale para una sirve para otra, hay que andarse con cuidado en eso y saber "adaptar" a tu distribución lo que se dice que funciona para otra. (...) >> Te dice que el paquete/binario "-client" no está instalado ¿lo está? >> >> which fail2ban-client >> > root@mail:~/fail2ban/fail2ban-0.8.12/files# > which fail2ban-client > /usr/local/bin/fail2ban-client > root@mail:~/fail2ban/fail2ban-0.8.12/files# Vale. >> Y si lo tienes, ¿está iniciado? > > si a ver... > > root@mail:~/fail2ban/fail2ban-0.8.12/files# > /usr/local/bin/fail2ban-client status > Status |- Number of jail: 0 > `- Jail list: > root@mail:~/fail2ban/fail2ban-0.8.12/files# > > lo tengo iniciado.. Okay. > Lo que quiero es que el scripts es en /etc/init.d/.. para bajar y subir > el servicio eso es lo que no consigo. > > root@mail:~/fail2ban/fail2ban-0.8.12/files# /etc/init.d/fail2ban restart > /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status > root@mail:~/fail2ban/fail2ban-0.8.12/files# > > cal/bin/fail2ban-server /usr/bin/fail2ban-server >> > (...) >> >> Hum... ¿estás seguro de que eso es correcto? Revisa las instrucciones >> (archivo README) quizá haya dos aplicativos diferenciados (cliente y >> servidor) y ambos tienen que estar en ejecución :-? >> >> > uhm a ver que dice el READAME > > To install, just do: > > tar xvfj fail2ban-0.8.12.tar.bz2 > cd fail2ban-0.8.12 > python setup.py > install > > This will install Fail2Ban into /usr/share/fail2ban. The executable > scripts are placed into /usr/bin, and configuration under /etc/fail2ban. Hum... primera diferencia. Tu binario está instalado en "/usr/local/bin/" no en "/usr/bin", quizá por eso el script de inicio no lo encuentre. Comprueba este punto, revisa el script que tienes en "/etc/init.d/ fail2ban" a ver dónde busca el binario. > Fail2Ban should be correctly installed now. Just type: > > fail2ban-client -h > > to see if everything is alright. You should always use fail2ban-client > and never call fail2ban-server directly. > > lo que llego a entender creo dice remplazar /usr/share/fail2ban a > /usr/bin, y /etc/fail2ban > > estoy en lo correcto? Lo que dice es que si has instalado el aplicativo siguiendo los pasos que indica en el README las rutas son las que te dicen, que difieren de las tuyas. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.03.12.17.21...@gmail.com
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El 12 de marzo de 2014, 12:31, Camaleón escribió: > El Tue, 11 Mar 2014 22:56:40 -0300, Ricardo escribió: > >> Pido su ayuda instalé Fail2ban de forma manual para tenerlo lo mas >> actualizado ya que trae alguna scripts interesante, en el repo encuento >> una Version: 0.8.6-3wheezy2 antigua, en la web oficial decía estable la >> version 0.8.12 > > ¿Estás seguro que te compensa tener la versión oficial en lugar de la que > te ofrecen los repos de Debian estable? Te lo comento porque si instalas > la versión upstream vas a tener que actualizarla manualmente, el sistema > no te va a instalar versiones parcheadas. > >> por eso me puse a instalar de forma manual al parecer >> metí la patota, a ver si me pueden echar un lazo a continuación >> detallo los comandos que ejecute: > > Fail2Ban parece un paquete genérico, vamos, que podrías descargar la > versión compilada (.deb) que hay en Sid (8.11), no sé si ésta será de tu > agrado. > Hola Camaleón, gracias por responder. para mi ya es un poco complicado pero investigando en San Google todo se puede, opte por esta opción por que en otra distro lo instale y me funciono y por que en Debian, se supone que en el articulo publicado es la instalación correcta digo que se yo! > También tienes paquetes no oficiales precompilados para wheezy: > > http://neuro.debian.net/pkgs/fail2ban.html > > (...) > echare un ¬_¬ >> ejecutando para que inicie >> >> root@mail:~# /etc/init.d/fail2ban start >> /usr/bin/fail2ban-client not installed > > Te dice que el paquete/binario "-client" no está instalado ¿lo está? > > which fail2ban-client > root@mail:~/fail2ban/fail2ban-0.8.12/files# which fail2ban-client /usr/local/bin/fail2ban-client root@mail:~/fail2ban/fail2ban-0.8.12/files# > Y si lo tienes, ¿está iniciado? si a ver... root@mail:~/fail2ban/fail2ban-0.8.12/files# /usr/local/bin/fail2ban-client status Status |- Number of jail: 0 `- Jail list: root@mail:~/fail2ban/fail2ban-0.8.12/files# lo tengo iniciado.. Lo que quiero es que el scripts es en /etc/init.d/.. para bajar y subir el servicio eso es lo que no consigo. root@mail:~/fail2ban/fail2ban-0.8.12/files# /etc/init.d/fail2ban restart /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status root@mail:~/fail2ban/fail2ban-0.8.12/files# cal/bin/fail2ban-server /usr/bin/fail2ban-server > (...) > > Hum... ¿estás seguro de que eso es correcto? Revisa las instrucciones > (archivo README) quizá haya dos aplicativos diferenciados (cliente y > servidor) y ambos tienen que estar en ejecución :-? > uhm a ver que dice el READAME To install, just do: tar xvfj fail2ban-0.8.12.tar.bz2 cd fail2ban-0.8.12 python setup.py install This will install Fail2Ban into /usr/share/fail2ban. The executable scripts are placed into /usr/bin, and configuration under /etc/fail2ban. Fail2Ban should be correctly installed now. Just type: fail2ban-client -h to see if everything is alright. You should always use fail2ban-client and never call fail2ban-server directly. lo que llego a entender creo dice remplazar /usr/share/fail2ban a /usr/bin, y /etc/fail2ban estoy en lo correcto? Configuration: -- You can configure Fail2Ban using the files in /etc/fail2ban. It is possible to configure the server using commands sent to it by fail2ban-client. The available commands are described in the fail2ban-client(1) manpage. Also see fail2ban(1) manpage for further references and find even more documentation on the website: http://www.fail2ban.org Saludos Ricardo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAH45Fxe8y4kSVdf+0cJDpEaUQbvXTSXs96h1kneQKa=yx9x...@mail.gmail.com
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El Tue, 11 Mar 2014 22:56:40 -0300, Ricardo escribió: > Pido su ayuda instalé Fail2ban de forma manual para tenerlo lo mas > actualizado ya que trae alguna scripts interesante, en el repo encuento > una Version: 0.8.6-3wheezy2 antigua, en la web oficial decía estable la > version 0.8.12 ¿Estás seguro que te compensa tener la versión oficial en lugar de la que te ofrecen los repos de Debian estable? Te lo comento porque si instalas la versión upstream vas a tener que actualizarla manualmente, el sistema no te va a instalar versiones parcheadas. > por eso me puse a instalar de forma manual al parecer > metí la patota, a ver si me pueden echar un lazo a continuación > detallo los comandos que ejecute: Fail2Ban parece un paquete genérico, vamos, que podrías descargar la versión compilada (.deb) que hay en Sid (8.11), no sé si ésta será de tu agrado. También tienes paquetes no oficiales precompilados para wheezy: http://neuro.debian.net/pkgs/fail2ban.html (...) > ejecutando para que inicie > > root@mail:~# /etc/init.d/fail2ban start > /usr/bin/fail2ban-client not installed Te dice que el paquete/binario "-client" no está instalado ¿lo está? which fail2ban-client Y si lo tienes, ¿está iniciado? > me tira el mensajito que no esta instalado bueno sigo buscando en > foro.[2] dice que crear (i made a symlink to fail2ban-client) > > root@mail:~# ln -s /usr/local/bin/fail2ban-client > /usr/bin/fail2ban-client > root@mail:~# ln -s > /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server (...) Hum... ¿estás seguro de que eso es correcto? Revisa las instrucciones (archivo README) quizá haya dos aplicativos diferenciados (cliente y servidor) y ambos tienen que estar en ejecución :-? Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.03.12.15.31...@gmail.com
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El 11 de marzo de 2014, 23:06, Ariel Martin Bellio escribió: > El 11/03/2014 10:56 p.m., Ricardo escribió: > >> Hola lista >> >> Pido su ayuda instalé Fail2ban de forma manual para tenerlo lo mas >> actualizado ya que trae alguna scripts interesante, en el repo >> encuento una Version: 0.8.6-3wheezy2 antigua, en la web oficial decía >> estable la version 0.8.12 por eso me puse a instalar de forma manual >> al parecer metí la patota, a ver si me pueden echar un lazo a >> continuación detallo los comandos que ejecute: >> >> root@mail:~# mkdir fail2ban >> root@mail:~# cd fail2ban/ >> root@mail:~# wget https://sarasasarasa/fail2ban-0.8.12.tar.gz >> >> root@mail:~# tar xzf fail2ban-0.8.12.tar.gz >> root@mail:~# cd fail2ban-0.8.12/ >> root@mail:~# python setup.py install >> root@mail:~# fail2ban-client -h >> >> Segun el README.md dice que ejecute fail2ban-client -h y lo hice me >> tiro una serie de comandos disponibles >> >> root@mail:~# /usr/local/bin/fail2ban-client -v start >> >> sale este >> >> INFO Using socket file /var/run/fail2ban/fail2ban.sock >> INFO [# ] Waiting on the server...2014-03-11 22:20:06,530 >> fail2ban.server [17389]: INFOStarting Fail2ban v0.8.12 >> 2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting in >> daemon mode >> >> root@mail:~# /usr/local/bin/fail2ban-client -v stop >> INFO Using socket file /var/run/fail2ban/fail2ban.sock >> Shutdown successful >> >> hasta aquí fenómeno creo que esta instalado correctamente, me guié de >> algunos manuales de [1] para crear el inicio >> >> root@mail:~# cd files/ > > > ahí en files/ está el suse-initd ? > > >> root@mail:~# cp suse-initd /etc/init.d/fail2ban >> root@mail:~# chmod 755 /etc/init.d/fail2ban > > > el archivo suse-initd lo renombrás a fail2ban? > > Disculpen se me escapo el mail al privado reenvio de nuevo a la lista Hola Ariel, si escribí mal las rutas aquí te paso lo que tenia que haber enviado. root@mail:~# mkdir fail2ban root@mail:~# cd fail2ban/ root@mail:~/fail2ban# wget https://sarasasarasa/fail2ban-0.8.12.tar.gz root@mail:~/fail2ban# tar xzf fail2ban-0.8.12.tar.gz root@mail:~/fail2ban# cd fail2ban-0.8.12/ root@mail:~/fail2ban/fail2ban-0.8.12# python setup.py install root@mail:~/fail2ban/fail2ban-0.8.12# fail2ban-client -h root@mail:~# /usr/local/bin/fail2ban-client -v start root@mail:~# /usr/local/bin/fail2ban-client -v stop Aquí estoy haciendo es creando para iniciar como dice en [1] root@mail:~/fail2ban/fail2ban-0.8.12# cd files/ root@mail:~/fail2ban/fail2ban-0.8.12/files# cp suse-initd /etc/init.d/fail2ban root@mail:~/fail2ban/fail2ban-0.8.12/files# chmod 755 /etc/init.d/fail2ban ejecutando para que inicie root@mail:~# /etc/init.d/fail2ban start /usr/bin/fail2ban-client not installed me tira el mensajito que no esta instalado bueno sigo buscando en foro.[2] dice que crear (i made a symlink to fail2ban-client) root@mail:~# ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client root@mail:~# ln -s /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server a ver si inicia ahora probando root@mail:~# /etc/init.d/fail2ban start /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status yo pienso que la instalación manual en cualquier distribución de Linux, deberia ser como indica lo antes mencionado.. saludos [1]http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Installing_from_sources_on_a_GNU.2FLinux_system -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAH45FxeW+OPoSyknrnE_h4vUozvG79693ZurLRk1=7wiuug...@mail.gmail.com
Re: Ayuda Instalación manual de fail2ban en Debian wheezy
El 11/03/2014 10:56 p.m., Ricardo escribió: Hola lista Pido su ayuda instalé Fail2ban de forma manual para tenerlo lo mas actualizado ya que trae alguna scripts interesante, en el repo encuento una Version: 0.8.6-3wheezy2 antigua, en la web oficial decía estable la version 0.8.12 por eso me puse a instalar de forma manual al parecer metí la patota, a ver si me pueden echar un lazo a continuación detallo los comandos que ejecute: root@mail:~# mkdir fail2ban root@mail:~# cd fail2ban/ root@mail:~# wget https://sarasasarasa/fail2ban-0.8.12.tar.gz root@mail:~# tar xzf fail2ban-0.8.12.tar.gz root@mail:~# cd fail2ban-0.8.12/ root@mail:~# python setup.py install root@mail:~# fail2ban-client -h Segun el README.md dice que ejecute fail2ban-client -h y lo hice me tiro una serie de comandos disponibles root@mail:~# /usr/local/bin/fail2ban-client -v start sale este INFO Using socket file /var/run/fail2ban/fail2ban.sock INFO [# ] Waiting on the server...2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting Fail2ban v0.8.12 2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting in daemon mode root@mail:~# /usr/local/bin/fail2ban-client -v stop INFO Using socket file /var/run/fail2ban/fail2ban.sock Shutdown successful hasta aquí fenómeno creo que esta instalado correctamente, me guié de algunos manuales de [1] para crear el inicio root@mail:~# cd files/ ahí en files/ está el suse-initd ? root@mail:~# cp suse-initd /etc/init.d/fail2ban root@mail:~# chmod 755 /etc/init.d/fail2ban el archivo suse-initd lo renombrás a fail2ban? ejecutando para que inicie root@mail:~# /etc/init.d/fail2ban start /usr/bin/fail2ban-client not installed me tira el mensajito que no esta instalado bueno sigo buscando en foro.[2] dice que crear (i made a symlink to fail2ban-client) root@mail:~# ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client root@mail:~# ln -s /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server a ver si inicia ahora probando root@mail:~# /etc/init.d/fail2ban start /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status ups! (¬_¬) (¬_¬) no anda ya me perdí, por favor me puede ayudar por donde puedo empezar a mirar? soy algo navatillo! tenia que haberlo hecho como dice aquí [3] para desinstalar manualmente, tambien encontre algo que dice bug algo asi en [4]. saludos Ricardo [1] http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 [2] http://www.howtoforge.com/forums/archive/index.php/t-50588.html [3] http://stackoverflow.com/questions/1550226/python-setup-py-uninstall [4] http://osdir.com/ml/debian-bugs-dist/2010-02/msg08543.html <>
Ayuda Instalación manual de fail2ban en Debian wheezy
Hola lista Pido su ayuda instalé Fail2ban de forma manual para tenerlo lo mas actualizado ya que trae alguna scripts interesante, en el repo encuento una Version: 0.8.6-3wheezy2 antigua, en la web oficial decía estable la version 0.8.12 por eso me puse a instalar de forma manual al parecer metí la patota, a ver si me pueden echar un lazo a continuación detallo los comandos que ejecute: root@mail:~# mkdir fail2ban root@mail:~# cd fail2ban/ root@mail:~# wget https://sarasasarasa/fail2ban-0.8.12.tar.gz root@mail:~# tar xzf fail2ban-0.8.12.tar.gz root@mail:~# cd fail2ban-0.8.12/ root@mail:~# python setup.py install root@mail:~# fail2ban-client -h Segun el README.md dice que ejecute fail2ban-client -h y lo hice me tiro una serie de comandos disponibles root@mail:~# /usr/local/bin/fail2ban-client -v start sale este INFO Using socket file /var/run/fail2ban/fail2ban.sock INFO [# ] Waiting on the server...2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting Fail2ban v0.8.12 2014-03-11 22:20:06,530 fail2ban.server [17389]: INFOStarting in daemon mode root@mail:~# /usr/local/bin/fail2ban-client -v stop INFO Using socket file /var/run/fail2ban/fail2ban.sock Shutdown successful hasta aquí fenómeno creo que esta instalado correctamente, me guié de algunos manuales de [1] para crear el inicio root@mail:~# cd files/ root@mail:~# cp suse-initd /etc/init.d/fail2ban root@mail:~# chmod 755 /etc/init.d/fail2ban ejecutando para que inicie root@mail:~# /etc/init.d/fail2ban start /usr/bin/fail2ban-client not installed me tira el mensajito que no esta instalado bueno sigo buscando en foro.[2] dice que crear (i made a symlink to fail2ban-client) root@mail:~# ln -s /usr/local/bin/fail2ban-client /usr/bin/fail2ban-client root@mail:~# ln -s /usr/local/bin/fail2ban-server /usr/bin/fail2ban-server a ver si inicia ahora probando root@mail:~# /etc/init.d/fail2ban start /etc/init.d/fail2ban: 36: .: Can't open /etc/rc.status ups! (¬_¬) (¬_¬) no anda ya me perdí, por favor me puede ayudar por donde puedo empezar a mirar? soy algo navatillo! tenia que haberlo hecho como dice aquí [3] para desinstalar manualmente, tambien encontre algo que dice bug algo asi en [4]. saludos Ricardo [1] http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 [2] http://www.howtoforge.com/forums/archive/index.php/t-50588.html [3] http://stackoverflow.com/questions/1550226/python-setup-py-uninstall [4] http://osdir.com/ml/debian-bugs-dist/2010-02/msg08543.html -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cah45fxeaex-m0nnpq+t3hfaru9xar8gfcfmm-psmgty69bb...@mail.gmail.com
Re: [SOLUCIONADO] Re: Configurar fail2ban
El Thu, 01 Aug 2013 18:14:39 -0400, Robert J. Briones C. escribió: (ese html...) (...) >>> > > grep -i "authentication failed" /var/log/mail.info >>> > > >>> > > Si tienes coincidencias, informa del fallo. Si no saca nada, >>> > > amplía: >>> >>> >> Tengo amplias coincidencias... como informo el fallo ?? Aquí explican cómo: http://www.debian.org/Bugs/Reporting.en.html > Estimados la solucion esta en : > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=507990 > > se trata de un bug reportado y solucionado que creo que solo pasa en > debian. Ah, vaya... pues sí, parece que lo han corregido en la versión "0.8.3-6" (wheezy) pero la solución es sencilla de implementar: copia la regla corregida y listo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.02.15.40...@gmail.com
[SOLUCIONADO] Re: Configurar fail2ban
El 1 de agosto de 2013 17:48, Robert J. Briones C. escribió: > > > > El 1 de agosto de 2013 13:17, Jhosue rui escribió: > > Hola >> >> El ago 1, 2013 10:56 a.m., "Jose Pablo Rojas" >> escribió: >> >> > >> > Consulta, en la configuración de jail.conf activó que revise postfix? >> > Eso es importante para que inicie la captura. >> > >> > [postfix] >> > >> > enabled = true >> > port = smtp,ssmtp >> > filter = postfix >> > logpath = /var/log/mail.log >> > >> De hecho. Esto debería estar en un archivo jail.local >> >> Por comentar. >> > efectivamente el archivo jail.local está, ocupo el de sasl > > [sasl] > > enabled = true > port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s > filter = sasl > logpath = /var/log/mail.log > > > >> > El día 1 de agosto de 2013 09:16, Camaleón >> escribió: >> > > El Thu, 01 Aug 2013 10:20:47 -0400, Robert J. Briones C. escribió: >> > > >> > > (corrijo el html y el top-posting) >> > > >> > >> El 1 de agosto de 2013 09:58, Camaleón >> escribió: >> > >> >> > >>> El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: >> > >>> >> > >>> (ese html...) >> > >>> >> > >>> > Estimados. debido a un reciente ataque de varias IP desde china a >> mi >> > >>> > servidor postfix he investigado un poco y encontre Fail2ban, según >> > >>> > veo es un software interesante que permite bloquear IP que hacen >> > >>> > muchos login fallidos y desde diferentes IP >> > >>> > >> > >>> > el problema es que no puedo configurar el failregex de este. >> > > >> > > (...) >> > > >> > >>> ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? >> > >>> >> > >>> Si no funciona, conviene que informes del error. >> > > >> > >> Veo que el que usas guido, es el que viene por defecto, si bien no >> me da >> > >> ningun error al realizar un >> > >> >> > >> fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/sasl.conf >> > >> >> > >> no me encuentra ninguna coincidencia.. >> > > >> > > (...) >> > > >> > > grep -i "authentication failed" /var/log/mail.info >> > > >> > > Si tienes coincidencias, informa del fallo. Si no saca nada, amplía: >> > > Tengo amplias coincidencias... como informo el fallo ?? > >> > > >> > > grep -i "authentication failed" /var/log/mail.* >> > > >> > > Saludos, >> > > >> > > -- >> > > Camaleón >> > > >> > > >> > > -- >> > > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >> > > with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> > > Archive: http://lists.debian.org/pan.2013.08.01.15.16...@gmail.com >> > > >> > >> > >> > -- >> > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >> > with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> > Archive: >> http://lists.debian.org/cajuzirgijtjvukrro6ct8nyb3fl+oeryyvvgezd3n-lhxxx...@mail.gmail.com >> > >> > Estimados la solucion esta en : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=507990 se trata de un bug reportado y solucionado que creo que solo pasa en debian. Saludos cordiales y gracias por su tiempo.
Re: Configurar fail2ban
El 1 de agosto de 2013 13:17, Jhosue rui escribió: > Hola > > El ago 1, 2013 10:56 a.m., "Jose Pablo Rojas" > escribió: > > > > > Consulta, en la configuración de jail.conf activó que revise postfix? > > Eso es importante para que inicie la captura. > > > > [postfix] > > > > enabled = true > > port = smtp,ssmtp > > filter = postfix > > logpath = /var/log/mail.log > > > De hecho. Esto debería estar en un archivo jail.local > > Por comentar. > efectivamente el archivo jail.local está, ocupo el de sasl [sasl] enabled = true port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = sasl logpath = /var/log/mail.log > > > El día 1 de agosto de 2013 09:16, Camaleón > escribió: > > > El Thu, 01 Aug 2013 10:20:47 -0400, Robert J. Briones C. escribió: > > > > > > (corrijo el html y el top-posting) > > > > > >> El 1 de agosto de 2013 09:58, Camaleón escribió: > > >> > > >>> El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: > > >>> > > >>> (ese html...) > > >>> > > >>> > Estimados. debido a un reciente ataque de varias IP desde china a > mi > > >>> > servidor postfix he investigado un poco y encontre Fail2ban, según > > >>> > veo es un software interesante que permite bloquear IP que hacen > > >>> > muchos login fallidos y desde diferentes IP > > >>> > > > >>> > el problema es que no puedo configurar el failregex de este. > > > > > > (...) > > > > > >>> ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? > > >>> > > >>> Si no funciona, conviene que informes del error. > > > > > >> Veo que el que usas guido, es el que viene por defecto, si bien no me > da > > >> ningun error al realizar un > > >> > > >> fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/sasl.conf > > >> > > >> no me encuentra ninguna coincidencia.. > > > > > > (...) > > > > > > grep -i "authentication failed" /var/log/mail.info > > > > > > Si tienes coincidencias, informa del fallo. Si no saca nada, amplía: > Tengo amplias coincidencias... como informo el fallo ?? > > > > > > grep -i "authentication failed" /var/log/mail.* > > > > > > Saludos, > > > > > > -- > > > Camaleón > > > > > > > > > -- > > > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > > > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > > > Archive: http://lists.debian.org/pan.2013.08.01.15.16...@gmail.com > > > > > > > > > -- > > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > > Archive: > http://lists.debian.org/cajuzirgijtjvukrro6ct8nyb3fl+oeryyvvgezd3n-lhxxx...@mail.gmail.com > > >
Re: Configurar fail2ban
Hola El ago 1, 2013 10:56 a.m., "Jose Pablo Rojas" escribió: > > Consulta, en la configuración de jail.conf activó que revise postfix? > Eso es importante para que inicie la captura. > > [postfix] > > enabled = true > port = smtp,ssmtp > filter = postfix > logpath = /var/log/mail.log > De hecho. Esto debería estar en un archivo jail.local Por comentar. > > El día 1 de agosto de 2013 09:16, Camaleón escribió: > > El Thu, 01 Aug 2013 10:20:47 -0400, Robert J. Briones C. escribió: > > > > (corrijo el html y el top-posting) > > > >> El 1 de agosto de 2013 09:58, Camaleón escribió: > >> > >>> El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: > >>> > >>> (ese html...) > >>> > >>> > Estimados. debido a un reciente ataque de varias IP desde china a mi > >>> > servidor postfix he investigado un poco y encontre Fail2ban, según > >>> > veo es un software interesante que permite bloquear IP que hacen > >>> > muchos login fallidos y desde diferentes IP > >>> > > >>> > el problema es que no puedo configurar el failregex de este. > > > > (...) > > > >>> ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? > >>> > >>> Si no funciona, conviene que informes del error. > > > >> Veo que el que usas guido, es el que viene por defecto, si bien no me da > >> ningun error al realizar un > >> > >> fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/sasl.conf > >> > >> no me encuentra ninguna coincidencia.. > > > > (...) > > > > grep -i "authentication failed" /var/log/mail.info > > > > Si tienes coincidencias, informa del fallo. Si no saca nada, amplía: > > > > grep -i "authentication failed" /var/log/mail.* > > > > Saludos, > > > > -- > > Camaleón > > > > > > -- > > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > > Archive: http://lists.debian.org/pan.2013.08.01.15.16...@gmail.com > > > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: http://lists.debian.org/cajuzirgijtjvukrro6ct8nyb3fl+oeryyvvgezd3n-lhxxx...@mail.gmail.com >
Re: Configurar fail2ban
El día 1 de agosto de 2013 13:06, Guido Ignacio escribió: > El día 1 de agosto de 2013 12:25, Jose Pablo Rojas > escribió: >> Consulta, en la configuración de jail.conf activó que revise postfix? >> Eso es importante para que inicie la captura. >> >> [postfix] >> >> enabled = true >> port = smtp,ssmtp >> filter = postfix >> logpath = /var/log/mail.log >> >> > > el filtro de sasl es sasl.conf y entiendo se activa llamando a dicho > filtro o no? > > [sasl] > enabled = false corrijo obvio es true no false > port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s > filter = sasl > bantime = 600 > maxretry = 3 > logpath = /var/log/mail.log > > Es cuestión de que pruebes: > > # fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/sasl.conf -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ca+wixxi-5ta4cx6x4nu--dzlyqx1o79mmezuaugra5wd8pq...@mail.gmail.com
Re: Configurar fail2ban
El día 1 de agosto de 2013 12:25, Jose Pablo Rojas escribió: > Consulta, en la configuración de jail.conf activó que revise postfix? > Eso es importante para que inicie la captura. > > [postfix] > > enabled = true > port = smtp,ssmtp > filter = postfix > logpath = /var/log/mail.log > > el filtro de sasl es sasl.conf y entiendo se activa llamando a dicho filtro o no? [sasl] enabled = false port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = sasl bantime = 600 maxretry = 3 logpath = /var/log/mail.log Es cuestión de que pruebes: # fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/sasl.conf -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CA+wiXxhYjxBGKUJZg5qmG4xiYkQ0W=w3ujttpaaja+cx4+i...@mail.gmail.com
Re: Configurar fail2ban
Consulta, en la configuración de jail.conf activó que revise postfix? Eso es importante para que inicie la captura. [postfix] enabled = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log El día 1 de agosto de 2013 09:16, Camaleón escribió: > El Thu, 01 Aug 2013 10:20:47 -0400, Robert J. Briones C. escribió: > > (corrijo el html y el top-posting) > >> El 1 de agosto de 2013 09:58, Camaleón escribió: >> >>> El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: >>> >>> (ese html...) >>> >>> > Estimados. debido a un reciente ataque de varias IP desde china a mi >>> > servidor postfix he investigado un poco y encontre Fail2ban, según >>> > veo es un software interesante que permite bloquear IP que hacen >>> > muchos login fallidos y desde diferentes IP >>> > >>> > el problema es que no puedo configurar el failregex de este. > > (...) > >>> ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? >>> >>> Si no funciona, conviene que informes del error. > >> Veo que el que usas guido, es el que viene por defecto, si bien no me da >> ningun error al realizar un >> >> fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/sasl.conf >> >> no me encuentra ninguna coincidencia.. > > (...) > > grep -i "authentication failed" /var/log/mail.info > > Si tienes coincidencias, informa del fallo. Si no saca nada, amplía: > > grep -i "authentication failed" /var/log/mail.* > > Saludos, > > -- > Camaleón > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: http://lists.debian.org/pan.2013.08.01.15.16...@gmail.com > -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cajuzirgijtjvukrro6ct8nyb3fl+oeryyvvgezd3n-lhxxx...@mail.gmail.com
Re: Configurar fail2ban
El Thu, 01 Aug 2013 10:20:47 -0400, Robert J. Briones C. escribió: (corrijo el html y el top-posting) > El 1 de agosto de 2013 09:58, Camaleón escribió: > >> El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: >> >> (ese html...) >> >> > Estimados. debido a un reciente ataque de varias IP desde china a mi >> > servidor postfix he investigado un poco y encontre Fail2ban, según >> > veo es un software interesante que permite bloquear IP que hacen >> > muchos login fallidos y desde diferentes IP >> > >> > el problema es que no puedo configurar el failregex de este. (...) >> ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? >> >> Si no funciona, conviene que informes del error. > Veo que el que usas guido, es el que viene por defecto, si bien no me da > ningun error al realizar un > > fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/sasl.conf > > no me encuentra ninguna coincidencia.. (...) grep -i "authentication failed" /var/log/mail.info Si tienes coincidencias, informa del fallo. Si no saca nada, amplía: grep -i "authentication failed" /var/log/mail.* Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.01.15.16...@gmail.com
Re: Configurar fail2ban
Veo que el que usas guido, es el que viene por defecto, si bien no me da ningun error al realizar un fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/sasl.conf no me encuentra ninguna coincidencia.. seguiré buscando. Gracias. El 1 de agosto de 2013 09:58, Camaleón escribió: > El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: > > (ese html...) > > > Estimados. debido a un reciente ataque de varias IP desde china a mi > > servidor postfix he investigado un poco y encontre Fail2ban, según veo > > es un software interesante que permite bloquear IP que hacen muchos > > login fallidos y desde diferentes IP > > > > el problema es que no puedo configurar el failregex de este. > > > > he intentado con algunos como estos. > > > > #failregex = warning: (.*)[]: SASL LOGIN authentication failed: > authentication failure > > #failregex = : warning: .*+\[\]: SASL > (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed failregex = : > warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) > authentication failed$ > > > > unos me dan error y otros no enuentra coincidencia. > > (...) > > ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? > > Si no funciona, conviene que informes del error. > > Saludos, > > -- > Camaleón > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: http://lists.debian.org/pan.2013.08.01.13.58...@gmail.com > >
Re: Configurar fail2ban
El Thu, 01 Aug 2013 01:06:19 -0400, Robert J. Briones C. escribió: (ese html...) > Estimados. debido a un reciente ataque de varias IP desde china a mi > servidor postfix he investigado un poco y encontre Fail2ban, según veo > es un software interesante que permite bloquear IP que hacen muchos > login fallidos y desde diferentes IP > > el problema es que no puedo configurar el failregex de este. > > he intentado con algunos como estos. > > #failregex = warning: (.*)[]: SASL LOGIN authentication failed: > authentication failure > #failregex = : warning: .*+\[\]: SASL > (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed failregex = : > warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) > authentication failed$ > > unos me dan error y otros no enuentra coincidencia. (...) ¿No te sirve el que tienes en "/etc/fail2ban/filter.d/sasl.conf"? Si no funciona, conviene que informes del error. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.01.13.58...@gmail.com
Re: Configurar fail2ban
El día 1 de agosto de 2013 02:06, Robert J. Briones C. escribió: > Estimados. debido a un reciente ataque de varias IP desde china a mi > servidor postfix he investigado un poco y encontre Fail2ban, según veo es un > software interesante que permite bloquear IP que hacen muchos login fallidos > y desde diferentes IP > > el problema es que no puedo configurar el failregex de este. > > he intentado con algunos como estos. > > #failregex = warning: (.*)[]: SASL LOGIN authentication failed: > authentication failure > #failregex = : warning: .*+\[\]: SASL > (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed > failregex = : warning: [-._\w]+\[\]: SASL > (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$ > > unos me dan error y otros no enuentra coincidencia. > > las lineas del log que me dan cuenta del error de login son las siguientes > > Aug 1 01:27:38 nao postfix/smtpd[31212]: connect from > unknown[183.160.126.122] > Aug 1 01:27:39 nao postfix/smtpd[31212]: warning: unknown[183.160.126.122]: > SASL LOGIN authentication failed: authentication failure > Aug 1 01:27:40 nao postfix/smtpd[31212]: lost connection after AUTH from > unknown[183.160.126.122] > Aug 1 01:27:40 nao postfix/smtpd[31212]: disconnect from > unknown[183.160.126.122] > Aug 1 01:28:24 nao postfix/smtpd[31212]: connect from unknown[60.173.9.227] > Aug 1 01:28:25 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]: > SASL LOGIN authentication failed: authentication failure > Aug 1 01:28:26 nao postfix/smtpd[31212]: lost connection after AUTH from > unknown[60.173.9.227] > Aug 1 01:28:26 nao postfix/smtpd[31212]: disconnect from > unknown[60.173.9.227] > Aug 1 01:28:27 nao postfix/smtpd[31212]: connect from unknown[60.173.9.227] > Aug 1 01:28:28 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]: > SASL LOGIN authentication failed: authentication failure > Aug 1 01:28:29 nao postfix/smtpd[31212]: lost connection after AUTH from > unknown[60.173.9.227] > Aug 1 01:28:29 nao postfix/smtpd[31212]: disconnect from > unknown[60.173.9.227] > > y realmente he buscado pero no encuentro que poner para que me funcione el > fail2ban. > > espero me puedan ayudar. > > Saludos. Yo utilizo este y no tengo ningún problema: failregex = (?i): warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]*={0,2})?$ Has intentado también usar reject_rbl_client en postfix? Frena parte de los ataques también y quizás algún firewall para frenar logueos desde ASIA. -- Guido Ignacio -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ca+wixxhdpzrbhupg8gu08ico3qjie6rcoriw_38c1-ujgji...@mail.gmail.com
Configurar fail2ban
Estimados. debido a un reciente ataque de varias IP desde china a mi servidor postfix he investigado un poco y encontre Fail2ban, según veo es un software interesante que permite bloquear IP que hacen muchos login fallidos y desde diferentes IP el problema es que no puedo configurar el failregex de este. he intentado con algunos como estos. #failregex = warning: (.*)[]: SASL LOGIN authentication failed: authentication failure #failregex = : warning: .*+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed failregex = : warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$ unos me dan error y otros no enuentra coincidencia. las lineas del log que me dan cuenta del error de login son las siguientes Aug 1 01:27:38 nao postfix/smtpd[31212]: connect from unknown[183.160.126.122] Aug 1 01:27:39 nao postfix/smtpd[31212]: warning: unknown[183.160.126.122]: SASL LOGIN authentication failed: authentication failure Aug 1 01:27:40 nao postfix/smtpd[31212]: lost connection after AUTH from unknown[183.160.126.122] Aug 1 01:27:40 nao postfix/smtpd[31212]: disconnect from unknown[183.160.126.122] Aug 1 01:28:24 nao postfix/smtpd[31212]: connect from unknown[60.173.9.227] Aug 1 01:28:25 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]: SASL LOGIN authentication failed: authentication failure Aug 1 01:28:26 nao postfix/smtpd[31212]: lost connection after AUTH from unknown[60.173.9.227] Aug 1 01:28:26 nao postfix/smtpd[31212]: disconnect from unknown[60.173.9.227] Aug 1 01:28:27 nao postfix/smtpd[31212]: connect from unknown[60.173.9.227] Aug 1 01:28:28 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]: SASL LOGIN authentication failed: authentication failure Aug 1 01:28:29 nao postfix/smtpd[31212]: lost connection after AUTH from unknown[60.173.9.227] Aug 1 01:28:29 nao postfix/smtpd[31212]: disconnect from unknown[60.173.9.227] y realmente he buscado pero no encuentro que poner para que me funcione el fail2ban. espero me puedan ayudar. Saludos.
Re: fail2ban
Gracias por tu tiempo y respuestas Mario, voy a revisar de inmediato lo que me planteas y les aviso por este medio, aprovecho la oportunidad para felicitarte por tu sitio <http://mariodebian.com> así aprovecho de una vez para pedirte permiso y te sindico en mi blog, <http://linuxdesdevenezuela.blogspot.com> saludos desdeVenezuela El 28 de junio de 2011 10:53, mariodebian escribió: > El mar, 28-06-2011 a las 10:32 -0430, skorky duarte escribió: > > He instalado recientemente la aplicación fail2ban para debían squeeze > > en una maquina que hace de firewall/proxy, ahora si alguno ha tenido > > la oportunidad de usarlo, pudiera aclarar las siguientes dudas: > > > > una vez instalado, se desea "banear" las ip que intenten hacer mas de > > 3 intentos fallidos mediante ssh al puerto del servidor en > > cuestión > > > > he intentado hacerlo (equivocarme intencionalmente mas de 3 veces > > desde ssh - desde la wan) a ver si me impide luego la conexion a la ip > > del servidor desde las afueras de la lan > > pero solo me reporta en el log (/var/log/auth.log) los intentos > > faillidos y en un nuevo intento me deja conectar satisfactoriamente.. > > esto esta bien? > > > > Nota: uso shorewall como firewall.. ¿el software fail2ban deberia > > hacer alguna especie de regla que no me permita conectarme a la ip del > > servidor despues de los 3 intentos fallidos ? o solamente deberia > > ¿dejarme en los logs el reporte de lo ocurrido? > > > > la config actual que poseo para el fail2ban es la siguiente anexa: > > > > gracias a todos por su tiempo y ganas de ayudar,. > > > > > 1.- El el archivo jail.conf que adjuntas tiene como puerto del SSH 5850 > no el . > > 2.- Si usas shorewall el action (línea 91 de tu jail.conf) debe ser > shorewall ya que si escribes reglas iptables por encima de shorewall van > a entrar en conflicto. > > 3.- De paso edita el /etc/shorewall/shorewall.conf > con "BLACKLISTNEWONLY=No" o sólo cerrará las conexiones nuevas, no las > abiertas. > > > -- > Saludos > -- > http://mariodebian.com > -- === Debian is 'the rock upon which Ubuntu is built'. Linux User # 483582 Blog: http://linuxdesdevenezuela.blogspot.com Skype: skorkyduarte Móvil: +58.0412.804.34.67
Re: fail2ban
El mar, 28-06-2011 a las 10:32 -0430, skorky duarte escribió: > He instalado recientemente la aplicación fail2ban para debían squeeze > en una maquina que hace de firewall/proxy, ahora si alguno ha tenido > la oportunidad de usarlo, pudiera aclarar las siguientes dudas: > > una vez instalado, se desea "banear" las ip que intenten hacer mas de > 3 intentos fallidos mediante ssh al puerto del servidor en > cuestión > > he intentado hacerlo (equivocarme intencionalmente mas de 3 veces > desde ssh - desde la wan) a ver si me impide luego la conexion a la ip > del servidor desde las afueras de la lan > pero solo me reporta en el log (/var/log/auth.log) los intentos > faillidos y en un nuevo intento me deja conectar satisfactoriamente.. > esto esta bien? > > Nota: uso shorewall como firewall.. ¿el software fail2ban deberia > hacer alguna especie de regla que no me permita conectarme a la ip del > servidor despues de los 3 intentos fallidos ? o solamente deberia > ¿dejarme en los logs el reporte de lo ocurrido? > > la config actual que poseo para el fail2ban es la siguiente anexa: > > gracias a todos por su tiempo y ganas de ayudar,. > 1.- El el archivo jail.conf que adjuntas tiene como puerto del SSH 5850 no el . 2.- Si usas shorewall el action (línea 91 de tu jail.conf) debe ser shorewall ya que si escribes reglas iptables por encima de shorewall van a entrar en conflicto. 3.- De paso edita el /etc/shorewall/shorewall.conf con "BLACKLISTNEWONLY=No" o sólo cerrará las conexiones nuevas, no las abiertas. -- Saludos -- http://mariodebian.com signature.asc Description: This is a digitally signed message part
Re: fail2ban
Gracias por responder Denazis, y mi respuesta es sí, efectivamente me ecuentro con la cadena pertinente en el iptables al ejecutar el comando que me envías. lo coloco a ver si sirve de algo... # iptables -nvL -t filter | grep fail2ban 0 0 fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain fail2ban-ssh (1 references) aunque viendo bien la respuesta arrojada, y no se si sirva de algo, al parecer esta "escuchando por asi decirlo" o monitoreanto, en el puerto 22 pero no se si por estar detras de un shorewall que hace dnat para el de la wan 5850 al loc 22 no me este dando los resultados esperados... tu que piensas? Gracias de antemano
Re: fail2ban
El día 28 de junio de 2011 12:02, skorky duarte escribió: > en un nuevo intento me deja conectar satisfactoriamente.. esto esta bien? > > Nota: uso shorewall como firewall.. ¿el software fail2ban deberia hacer > alguna especie de regla que no me permita conectarme a la ip del servidor > despues de los 3 intentos fallidos ? o solamente deberia ¿dejarme en los > logs el reporte de lo ocurrido? > > la config actual que poseo para el fail2ban es la siguiente anexa: > > gracias a todos por su tiempo y ganas de ayudar,. ¿Haciendo un 'iptables -nvL -t filter | grep fail2ban" encontrás las reglas del fail2ban? -- -- Santiago López Denazis -- Si hubiera dioses, ¿cómo soportaría yo no ser dios? -- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTimf+ziZLgrLqw-Qfa=n-8ca99d...@mail.gmail.com
fail2ban
He instalado recientemente la aplicación fail2ban para debían squeeze en una maquina que hace de firewall/proxy, ahora si alguno ha tenido la oportunidad de usarlo, pudiera aclarar las siguientes dudas: una vez instalado, se desea "banear" las ip que intenten hacer mas de 3 intentos fallidos mediante ssh al puerto del servidor en cuestión he intentado hacerlo (equivocarme intencionalmente mas de 3 veces desde ssh - desde la wan) a ver si me impide luego la conexion a la ip del servidor desde las afueras de la lan pero solo me reporta en el log (/var/log/auth.log) los intentos faillidos y en un nuevo intento me deja conectar satisfactoriamente.. esto esta bien? *Nota: *uso shorewall como firewall.. ¿el software fail2ban deberia hacer alguna especie de regla que no me permita conectarme a la ip del servidor despues de los 3 intentos fallidos ? o solamente deberia ¿dejarme en los logs el reporte de lo ocurrido? la config actual que poseo para el fail2ban es la siguiente anexa: gracias a todos por su tiempo y ganas de ayudar,. -- === Debian is 'the rock upon which Ubuntu is built'. Linux User # 483582 Blog: http://linuxdesdevenezuela.blogspot.com Skype: skorkyduarte Móvil: +58.0412.804.34.67 jail.conf Description: Binary data
Utilizando fail2ban posible uso con proftpd ...
Hace poco leyendo sobre ataques de fuerza bruta, he leido sobre varias herramientas una de ellas fail2ban la cual ayuda a prevenir extensos ataques de fuerza bruta en algún servidor. Ahora fail2bain se utiliza muy comúnmente con sshd, pero dice que tiene la posibilidad de utilizarse con otros tipos de servidores, alguién a utilizado estad herramienta ?, la han aplicado también a proftpd ?. saludos. -- "hechando a perder se aprende" http://mx.tuxsoul.com http://mx.dolric.com --BEGIN GEEK CODE BLOCK- Version: 3.12 GCS d? s: a? C+++ UL+++ P+ L++ E--- W++ N+ o K- w++ O-- M V- PS PE Y PGP++ t++ 5 X+++ R* tv++ b- DI+++ D G++ e- h++ !r !z ---END GEEK CODE BLOCK--