•  14-11-2019
  •  | 
  •  

Question

J'ai configuré Proftpd Pour enregistrer toutes les authentifications sur un serveur alimenté par Plesk. Ce paramètre n'est pas défini par défaut depuis Plesk 10 (pourquoi ...). Je souhaite configurer Fail2ban, pour détecter les tentatives de connexion infructueuses pour la prévention de la force brute.

/etc/proftpd.include:

ExtendedLog         /var/log/proftpd/auth.log AUTH auth 
LogFormat           auth "%v [%h] %s"

Exemple de connexion infructueuse (530):

/var/log/proftpd/auth.log:

ProFTPD [12.89.47.3] 331
ProFTPD [12.89.47.3] 530

Quel est le bon regexp pour Fail2ban? Ma configuration semble ne pas correspondre au modèle:

/etc/fail2ban/filter.d/proftpd.conf:

failregex = ProFTPD(.)+\[<HOST>\] 530$

<HOST> semble être une variable fail2ban, et $ finit par une règle (si vous souhaitez définir plusieurs règles à l'intérieur du failregex = variable).

Était-ce utile?

La solution

Pour moi, ce qui suit travaille sur Plesk 10.4.

proftpd.include:

ExtendedLog         /var/log/proftpd/auth.log AUTH auth
LogFormat           auth "%v %t \"%r\" [%h] %s"

/etc/fail2ban/filter.d/proftpd.conf:

failregex = \[<HOST>\]\s+530$
Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top