มีคนช่วยฉันด้วยการสร้างตัวกรอง fail2ban ที่ถูกต้อง ที่อยู่ IP ไม่ถูกต้องเคาะพอร์ต 993 /etc/fail2ban/filter.d/dovecot.conf ไม่พบบันทึกดังกล่าว
ฉันพบสิ่งนี้ แต่ฉันได้รับข้อผิดพลาดกับสิ่งนี้
[คำนิยาม]
failregex = ^%(__prefix_line)s(pop3|imap)-เข้าสู่ระบบ: (ข้อมูล: )?(ยกเลิกการเข้าสู่ระบบ|ยกเลิกการเชื่อมต่อ)(: ไม่มีการใช้งาน)? \(((ไม่มีความพยายามตรวจสอบสิทธิ์|ตรวจสอบสิทธิ์ล้มเหลว, พยายาม \d+)( ใน \d+ วินาที)?|พยายาม $
จดหมาย.log
28 ม.ค. 11:35:10 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีการตรวจสอบสิทธิ์ใน 7 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS, session=<4WmzJqHWpuJ1Mm4F>
28 ม.ค. 11:35:11 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 0 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: ปิดการเชื่อมต่อ, เซสชัน =<8Bi9JqHWYIB1Mm4F>
28 ม.ค. 11:35:12 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 1 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: ปิดการเชื่อมต่อ, เซสชัน =<9vHEJqHWmIF1Mm4F>
28 ม.ค. 11:35:13 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 1 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: read(size= 676) ล้มเหลว: การเชื่อมต่อถูกรีเซ็ตโดยเพียร์ เซสชัน=<Ri3TJqHWtIJ1Mm4F>
28 ม.ค. 11:35:13 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีการตรวจสอบสิทธิ์ใน 0 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: ปิดการเชื่อมต่อ, เซสชัน =<RjDbJqHWdIR1Mm4F>
28 ม.ค. 11:35:14 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีการตรวจสอบสิทธิ์ใน 1 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: ปิดการเชื่อมต่อ, เซสชัน =<mHXjJqHWHIV1Mm4F>
28 ม.ค. 11:35:14 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 0 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: SSL_accept() ล้มเหลว : error:14209102:รูทีน SSL:tls_early_post_process_client_hello:โปรโตคอลที่ไม่รองรับ, เซสชัน=<l6XnJqHW0IV1Mm4F>
28 ม.ค. 11:35:15 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 1 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: read(size= 595) ล้มเหลว: การเชื่อมต่อถูกรีเซ็ตโดยเพียร์ เซสชัน=<ic/zJqHWhoZ1Mm4F>
28 ม.ค. 11:35:15 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 0 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: ปิดการเชื่อมต่อ, เซสชัน =<aw78JqHWXId1Mm4F>
28 ม.ค. 11:35:15 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 0 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: SSL_accept() ล้มเหลว : error:142090C1:SSL รูทีน:tls_early_post_process_client_hello:ไม่มีรหัสลับที่ใช้ร่วมกัน เซสชัน=<gTIAJ6HWMoh1Mm4F>
28 ม.ค. 11:35:16 น. mbm2-srv dovecot: imap-login: ตัดการเชื่อมต่อ (ไม่มีความพยายามตรวจสอบสิทธิ์ใน 0 วินาที): user=<>, rip=117.50.110.5, lip=192.168.1.254, TLS handshaking: SSL_accept() ล้มเหลว : error:141CF06C:SSL รูทีน:tls_parse_ctos_key_share:การแชร์คีย์ไม่ถูกต้อง เซสชัน=<l9UIJ6HW8Ih1Mm4F>
ขอขอบคุณอีกครั้ง
คุณไม่จำเป็นต้องเขียน regex ของคุณเองหากคุณใช้รุ่น fail2ban ใหม่ที่ตัวกรอง dovecot รองรับ ก้าวร้าว โหมด.
คุณสามารถตรวจสอบได้ด้วย:
fail2ban-regex /path/to/log-or-test-message dovecot[โหมด=ก้าวร้าว]
ถ้าคุณเห็น การแข่งขัน แล้วมันได้ผลสำหรับคุณ ดังนั้นเพียงแค่ตั้งค่านี้ในของคุณ คุก.local เพื่อติดคุก นกพิราบ:
[โดฟคอต]
โหมด = ก้าวร้าว
...
เปิดใช้งาน = จริง
ฉันพบสิ่งนี้ แต่ฉันได้รับข้อผิดพลาดกับสิ่งนี้
ตัวอย่างของคุณดูเหมือนจะไม่สมบูรณ์ (ตัดทอนหรือไม่) อย่างไรก็ตามก็ไม่มี <ADDR> หรือ <HOST> รวมทั้งอาจถูกเขียนขึ้นโดยทั่วไปสำหรับรุ่น fail2ban อื่น (คุณไม่ได้ระบุด้วย)
อย่างไรก็ตามสำหรับ v.0.10 หรือสูงกว่านั้นอาจมีลักษณะเช่นนี้ นี้เพียงแค่มันจะทำงานร่วมกันเท่านั้นกับ คำนำหน้านาม ระบุบรรทัดที่สูงขึ้นสองสามบรรทัดในตัวกรองเดียวกัน รวมถึงตัวแปรการแทนที่อื่นๆ ที่ระบุที่นั่น และอาจขึ้นอยู่กับเวอร์ชันของ รวมตัวกรองทั่วไป.
หรือแม้แต่สิ่งนี้ (ต้องใช้งานได้กับทุกเวอร์ชันและไม่จำเป็นต้องรวม):
failregex = ^\s*(?:\S+\s+)?(?:(?:dovecot(?:-auth)?|auth)(?:\[\d+\])?:?\s+)?( ?:kernel:\s?\[ *\d+\.\d+\]:?\s+)?(?:(?:dovecot: )?auth(?:-worker)?(?:\([^\ )]+\))?: )?(?:pam_unix(?:\(dovecot:auth\))?: |(?:pop3|imap|managesieve|submission)-login: )?(?:Info: ) ?(?:conn \w+:auth(?:-worker)? \(uid=\w+\): auth(?:-worker)?<\d+>: )?(?:ยกเลิกการเข้าสู่ระบบ|ตัดการเชื่อมต่อ|ปิดระยะไกล การเชื่อมต่อ|ไคลเอ็นต์ออกจากการเชื่อมต่อ)(?::(?: [^ \(]+)+)? \((?:ไม่มีความพยายามในการตรวจสอบสิทธิ์|ตัดการเชื่อมต่อก่อนที่การตรวจสอบสิทธิ์จะพร้อม|ไคลเอ็นต์ไม่เสร็จสิ้น \S+ การตรวจสอบสิทธิ์ )(?: (?:ใน|รอ) \d+ วินาที)?\):(?: user=<[^>]*>,)?(?: method=\S+,)? rip=<HOST>( ?:[^>]*(?:, session=<\S+>)?)\s*$
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
