fail2ban für Plesk-Server

Nachdem ich mir von meinem Hoster einen Plesk-gesteuerten Server bestellt habe, ging ich sofort daran, fail2ban für das System aufzusetzen.
Doch da die Log-Dateien teilweise in Plesk-Ordnern statt unter /var/log versteckt sind, gebe ich euch hiermit meine aktive Konfiguration, sodass ihr nicht selbst suchen müsst.

jail.local:

[…]
ignoreip = 127.0.0.1/8
bantime = 7200
maxretry = 3
destemail = your@mail.de
[…]
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
[…]
[proftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/auth.log
maxretry = 3
[…]
[courierauth]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /usr/local/psa/var/log/maillog.processed
/usr/local/psa/var/log/maillog
[…]
[smtp]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = smtp
logpath = /usr/local/psa/var/log/maillog.processed
/usr/local/psa/var/log/maillog
[…]

Bei fast allen Filter-Konfigurationsdateien können die voreingestellten Filter benutzt werden, doch bei courierlogin.conf habe ich den Filter geändert:
filter.d/courierlogin.conf:

[…]
failregex = LOGIN FAILED, ip=\[\]$
[…]

Für die SMTP-Authentifizierung habe ich folgenden Filter erstellt:
filter.d/smtp.conf:

# Fail2Ban configuration file
#
# Author: Timo Sablowski
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named „host“. The tag „“ can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
# Values: TEXT
#
failregex = smtp_auth: FAILED.* \[\]

Anschließend einfach den fail2ban-Dienst neustarten und sich an der aktive Konfiguration erfreuen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.