Le 1 déc. 2015 à 15:56, andre_deb...@numericable.fr a écrit : > On Tuesday 01 December 2015 14:28:18 Philippe Gras wrote: >> Le 1 déc. 2015 à 14:17, andre_deb...@numericable.fr a écrit : >>> J'avais lancé un help sur ce sujet et modifié >>> jail.conf et fail.local >>> Malgré, j'ai toujours ce type de message dans mon logwatch quotidien, >>> (tentatives de connexions sur des comptes mail) : >>> "authentication failure; logname= uid=0 euid=0 tty=dovecot >>> ruser=pascal.b@<domain.net> rhost=212.83.40.56 : 66 Times" >>> Une personne qui n'est pas le propriétaire du mail, >>> tente de se connecter 66 fois alors que le "maxretry=3" >>> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. >>> (je l'avais bien relancé). > >> Cette adresse IP est-elle rapportée dans Logwatch d'un jour à l'autre ? : > > Les IP intrusives changent d'un jour à l'autre.
Bon, ben alors c'est normal. Quand tu auras banni toutes les IP du pirate ça va se tasser, mais ça prend évidemment plusieurs jours > >> La période de ban peut être augmentée (> 1 mois c'est bien) : > > Quelle est la ligne à ajouter/ configurer dans les fichiers jail.conf > et .local ? bantime = nombre de secondes en nombre entier > >> Sinon, les requêtes peuvent avoir été envoyées en même temps, et en >> masse, c'est une technique utilisée pour passer les filtres fail2ban : > > Comment contourner la technique des ? : > "requêtes envoyées en même temps et en masse". À ma connaissance ce n'est pas possible. Par contre tu peux filtrer le nombre de connections simultanées sur ton serveur ou avec iptables. > > André > >