Todo comenzó cuando de repente en mi log de correo (ubicado en /var/log/mail.log) empecé a detectar un montón de intentos de logueos fallidos en el servidor. Algo mas o menos parecido a esto: postfix/smtpd[4679]: warning: unknown[ip de conexión]: SASL LOGIN authentication failed: authentication failure Estaba confiado porque tenía instalado el fail2ban en virtualmin, así que pensé que luego de un rato la ip atacante, supongo por fuerza bruta, pararía y entraría en en lista de ips baneadas (ignoradas), para ver las protecciones instaladas con fail2ban teclie: # fail2ban-client status Eso muestra el estatus actual del fail2ban , asi como las protecciones, como el log me decía que era por medio de SASL el ataque, procedi a dar (de acuerdo a la lista) #fail2ban-client status postfix-sasl No me aparecía nada! No detectaba ninguna ip con intentos de conexión. Pero en el reporte decía File list: /var/log/mail.warm pero mis warnings no estaban ahi, pues el virtualmin envia los logs de correo a /var/log/mail.log Para resolver el problema de lectura de logs del fail2ban en virtualmin, editamos el archivo /etc/fail2ban/jail.local Buscamos el registro para postfix, dovecot y sasl (postfix-sasl) y añadimos la siguiente linea: logpath = /var/log/mail.log
Reiniciamos el servicio del fail2ban con #service fail2ban restart Y listo.
Si queremos testear el filtro con expresiones regulares dado de alta pasando a través de mail.log podemos poner el siguiente comando: #fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix-sasl.conf Nos dará el resultado encontrados para la expresión regular marcada para el postfix-sasl. Si queremos ver si está funcionando, escribimos nuevamente #fail2ban-client status postfix-sasl Y verémos si está funcionando. Este fixed es necesario para virtualmin recien instalado en un ubuntu (o debian u otros) nuevos , en este caso ubuntu 16.04. Si es un virtualmin actualizado de versiones anteriores, no es necesario.
Este post fue escrito por Moisés Gómez Díaz