Regexp: ProfTPD Auth-logs
Question
J'ai configuré Proftpd Pour enregistrer toutes les authentifications sur un serveur alimenté par Plesk. Ce paramètre n'est pas défini par défaut depuis Plesk 10 (pourquoi ...). Je souhaite configurer Fail2ban, pour détecter les tentatives de connexion infructueuses pour la prévention de la force brute.
/etc/proftpd.include
:
ExtendedLog /var/log/proftpd/auth.log AUTH auth
LogFormat auth "%v [%h] %s"
Exemple de connexion infructueuse (530):
/var/log/proftpd/auth.log
:
ProFTPD [12.89.47.3] 331
ProFTPD [12.89.47.3] 530
Quel est le bon regexp pour Fail2ban? Ma configuration semble ne pas correspondre au modèle:
/etc/fail2ban/filter.d/proftpd.conf
:
failregex = ProFTPD(.)+\[<HOST>\] 530$
<HOST>
semble être une variable fail2ban, et $
finit par une règle (si vous souhaitez définir plusieurs règles à l'intérieur du failregex =
variable).
La solution
Pour moi, ce qui suit travaille sur Plesk 10.4.
proftpd.include:
ExtendedLog /var/log/proftpd/auth.log AUTH auth
LogFormat auth "%v %t \"%r\" [%h] %s"
/etc/fail2ban/filter.d/proftpd.conf:
failregex = \[<HOST>\]\s+530$