Vilain ! modifier la regex pour Dovecot
#1

Salut,
En regardant les log de mon dovecot je m’aperçoi que Vilain passe a coté de tentatives qui me paraissent douteuses. J'ai quelques Kio des lignes suivantes
Code :
Apr 26 03:05:07 YYYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: Disconnected, session=<cNuMhmSHJO7QZBrp>
Apr 26 03:05:07 YYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: SSL_accept() syscall failed: Connection reset by peer, session=<Kg+NhmSHFu7QZBrp>
Apr 26 03:05:07 YYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: SSL_accept() failed: error:140270C1:SSL routines:ACCEPT_SR_CLNT_HELLO_C:no shared cipher, session=<lGyNhmSHHu7QZBrp>

La regex de Vilain actuellement ne recherche que les authentifications erronées
Code :
regex = .*auth failed.*rip=([\S]+),.*

Du coup je me dit qu'il serait peut être intéressant d'ajouter une deuxième règle de ce type :
Code :
regex = .*no auth attempts in.*rip=([\S]+),.*
ou
Code :
regex = .*Disconnected \(no auth attempts in.*rip=([\S]+),.*

« La perfection est atteinte, non pas lorsqu'il n'y a plus rien à ajouter, mais lorsqu'il n'y a plus rien à retirer. » Antoine de Saint-Exupéry
Répondre
#2

Bonsoir,
Je déplace le post car ceci n'a rien à voir avec une demande d'aide autour ou sur OpenBSD.

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#3

Tu as testé cette regex?

Je suis bien sûr preneur de nouvelles regex, je n'ai pas pu couvrir tous les cas de figure ! Smile
Répondre
#4

@PengouinBSD : En effet je ne savais pas très bien ou mettre la question.

@Thuban : Je suis en train de la tester, pour ça je surveille la log. Ça semble fonctionner un peu trop bien j'ai réussi a me bannir tout seul X-D. Du coup je l'ai un peu affiné.
Code :
regex = .*no auth attempts in.*rip=([\S]+),.*failed.*

« La perfection est atteinte, non pas lorsqu'il n'y a plus rien à ajouter, mais lorsqu'il n'y a plus rien à retirer. » Antoine de Saint-Exupéry
Répondre
#5

L'auto-ban, c'est souvent un souci avec ce genre de softs.
N'hésite pas à mettre ton IP sur liste blanche si besoin dans la configuration.
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)