Fixear fail2ban en virtualmin ubuntu 16.04

Todo comenzó cuando de repente en mi log de correo (ubicado en /var/log/mail.log) empecé a detectar un montón de intentos de logueos fallidos en el servidor. Algo mas o menos parecido a esto:

postfix/smtpd[4679]: warning: unknown[ip de conexión]: SASL LOGIN authentication failed: authentication failure

Estaba confiado porque tenía instalado el fail2ban en virtualmin, así que pensé que luego de un rato la ip atacante, supongo por fuerza bruta, pararía y entraría en en lista de ips baneadas (ignoradas), para ver las protecciones instaladas con fail2ban teclie:

# fail2ban-client status

Eso muestra el estatus actual del fail2ban , asi como las protecciones, como el log me decía que era por medio de SASL el ataque, procedi a dar (de acuerdo a la lista)

publicidad

#fail2ban-client status postfix-sasl

No me aparecía nada! No detectaba ninguna ip con intentos de conexión. Pero en el reporte decía File list: /var/log/mail.warm pero mis warnings no estaban ahi, pues el virtualmin envia los logs de correo a /var/log/mail.log

Para resolver el problema de lectura de logs del fail2ban en virtualmin, editamos el archivo /etc/fail2ban/jail.local

Buscamos el registro para postfix, dovecot y sasl (postfix-sasl) y añadimos la siguiente linea:

logpath = /var/log/mail.log

 

Reiniciamos el servicio del fail2ban con

#service fail2ban restart

publicidad

Y listo.

Si queremos testear el filtro con expresiones regulares dado de alta pasando a través de mail.log podemos poner el siguiente comando:

#fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix-sasl.conf

Nos dará el resultado encontrados para la expresión regular marcada para el postfix-sasl.

Si queremos ver si está funcionando, escribimos nuevamente

#fail2ban-client status postfix-sasl

Y verémos si está funcionando.

Este fixed es necesario para virtualmin recien instalado en un ubuntu (o debian u otros) nuevos , en este caso ubuntu 16.04. Si es un virtualmin actualizado de versiones anteriores, no es necesario.

 

Linux

por Moisés Gómez Díaz :)

¿Algo que comentar?


Populares estos días

    Suscríbete por correo electrónico, recibirás los nuevos escritos antes que nadie y es gratis 😊


    tar.mx es un blog sobre tecnología y otras chunches