Re: Fail2ban et IMAP

[Sil]

Le 06/03/2019 à 08:16, Sil a écrit :

Bonjour la liste,

Depuis quelques jours quelqu'un essaie de trouver les mots de passe de 
mes comptes IMAP.


Extrait des log :
Mar  5 21:10:16 serveur authdaemond: pam_unix(imap:auth): 
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
user=toto


J'ai enfin trouvé une correspondance dans mail.log :

Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN, 
ip=[:::109.105.195.250]


Par contre fail2ban ne voit rien car son filtre est le suivant :

failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[\]$

J'ai donc créé un nouveau jail avec le filtre suivant :

failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=\[\]$

Je vais attendre un peu pour voir si le gars se représente.

Silvère

Fail2ban et IMAP

[Sil]

Bonjour la liste,

Depuis quelques jours quelqu'un essaie de trouver les mots de passe de 
mes comptes IMAP.


Extrait des log :
Mar  5 21:10:16 serveur authdaemond: pam_unix(imap:auth): authentication 
failure; logname= uid=0 euid=0 tty= ruser= rhost= user=toto


Ces logs apparaissent dans auth.log et ne contiennent pas d'IP. Fail2ban 
est donc incapable de les détecter. Je ne vois rien dans mail.log, 
mail.warn et mail.err.

Avez-vous une idée pour pouvoir bloquer ces requêtes ?

Par avance merci.
Silvère Maugain