Fail2Ban mit Webmin

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
Falconbase
Beiträge: 97
Registriert: 14. Sep 2010, 11:20
Wohnort: Wallersdorf
Kontaktdaten:

Fail2Ban mit Webmin

Beitrag von Falconbase » 21. Sep 2010, 20:51

Als erstes brauchen wir eine filter Regel, diese "Regeln" liegen als einzelne .conf Dateien unter /etc/fail2ban/filter.d und sind nach ihrem jeweiligen Zweck bezeichnet.

Wir erstellen unter filter.d/ eine Datei webmin.conf mit folgendem Inhalt:

Code: Alles auswählen

# Fail2Ban configuration file
[Definition]
# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#
failregex = <HOST>.*"POST /session_login\.cgi.*401

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
Als nächstes brauchen wir eine neue Section in jail.conf:

Code: Alles auswählen

[webmin-iptables]

enabled  = true
filter   = webmin
action   = iptables[name=sasl, port=10000, protocol=tcp]
               sendmail-whois-lines[name=sasl, dest=fail2ban@blocklist.de, sender=fail2ban@DEINE-DOMAIN, logpath=%(logpath)s]
logpath  = /var/log/webmin/miniserv.log
maxretry = 4
fail2ban@DEINE-DOMAIN ist entsprechend abzuändern.
Grüße Falconbase

http://www.kunesch.net

Antworten