Fail2ban na interface Web do Mailman"

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

Fail2ban na interface Web do Mailman"

Henrique Fagundes-4
Prezado Colegas,

Prezados Colegas,

Primeiramente saudações “pinguianas” a todos.

Estou com uma dificuldade em utilizar o Fail2Ban junto com o software de gerência de listas de discussão MailMan.

A minha ideia é que quando o invasor/atacante digitar incorretamente a senha do campo de login na interface web por mais de 3 vezes, ele seja bloqueado. Mas para que isso funcione, é necessário que o MailMan informe em seu log as tentativas de login sem sucesso.

Já pesquisei para ver se existe algum plugin ou extensão (assim como existe para o Wordpress e PHPMyAdmin), mas parece que não há nada desenvolvido para isso.

Então, gostaria de saber se alguém já teve a necessidade de fazer essa implementação, para que eu possa ter algum caminho.

Se alguém puder me ajudar, ficarei muito grato.

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://telegram.me/AprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!



--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

PAULO FERNANDES-3
Uma variável de memória contando
as tentativas infrutíferas não solucionaria?





Em 3 de junho de 2018 13:46, Henrique Fagundes <[hidden email]>
escreveu:

> Prezado Colegas,
>
> Prezados Colegas,
>
> Primeiramente saudações “pinguianas” a todos.
>
> Estou com uma dificuldade em utilizar o Fail2Ban junto com o software de
> gerência de listas de discussão MailMan.
>
> A minha ideia é que quando o invasor/atacante digitar incorretamente a
> senha do campo de login na interface web por mais de 3 vezes, ele seja
> bloqueado. Mas para que isso funcione, é necessário que o MailMan informe
> em seu log as tentativas de login sem sucesso.
>
> Já pesquisei para ver se existe algum plugin ou extensão (assim como
> existe para o Wordpress e PHPMyAdmin), mas parece que não há nada
> desenvolvido para isso.
>
> Então, gostaria de saber se alguém já teve a necessidade de fazer essa
> implementação, para que eu possa ter algum caminho.
>
> Se alguém puder me ajudar, ficarei muito grato.
>
> Atenciosamente,
>
> Henrique Fagundes
> Analista de Suporte Linux
> [hidden email]
> Skype: magnata-br-rj
> Linux User: 475399
>
> https://www.aprendendolinux.com
> https://www.facebook.com/AprendendoLinux
> https://youtube.com/AprendendoLinux
> https://twitter.com/AprendendoLinux
> https://telegram.me/AprendendoLinux
> ______________________________________________________________________
> Participe do Grupo Aprendendo Linux
> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>
> Ou envie um e-mail para:
> [hidden email]
>
> BRASIL acima de tudo, DEUS acima de todos!
>
>
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

Henrique Fagundes-4
Prezado,

E como eu implementaria esta variável?!

Atenciosamente,

Henrique Fagundes
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://telegram.me/AprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

Em 06/06/2018 15:25, Paulo Fernandes escreveu:

> Uma variável de memória contando
> as tentativas infrutíferas não solucionaria?
>
>
>
>
>
> Em 3 de junho de 2018 13:46, Henrique Fagundes <[hidden email]>
> escreveu:
>
>> Prezado Colegas,
>>
>> Prezados Colegas,
>>
>> Primeiramente saudações “pinguianas” a todos.
>>
>> Estou com uma dificuldade em utilizar o Fail2Ban junto com o software de
>> gerência de listas de discussão MailMan.
>>
>> A minha ideia é que quando o invasor/atacante digitar incorretamente a
>> senha do campo de login na interface web por mais de 3 vezes, ele seja
>> bloqueado. Mas para que isso funcione, é necessário que o MailMan informe
>> em seu log as tentativas de login sem sucesso.
>>
>> Já pesquisei para ver se existe algum plugin ou extensão (assim como
>> existe para o Wordpress e PHPMyAdmin), mas parece que não há nada
>> desenvolvido para isso.
>>
>> Então, gostaria de saber se alguém já teve a necessidade de fazer essa
>> implementação, para que eu possa ter algum caminho.
>>
>> Se alguém puder me ajudar, ficarei muito grato.
>>
>> Atenciosamente,
>>
>> Henrique Fagundes
>> Analista de Suporte Linux
>> [hidden email]
>> Skype: magnata-br-rj
>> Linux User: 475399
>>
>> https://www.aprendendolinux.com
>> https://www.facebook.com/AprendendoLinux
>> https://youtube.com/AprendendoLinux
>> https://twitter.com/AprendendoLinux
>> https://telegram.me/AprendendoLinux
>> ______________________________________________________________________
>> Participe do Grupo Aprendendo Linux
>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>>
>> Ou envie um e-mail para:
>> [hidden email]
>>
>> BRASIL acima de tudo, DEUS acima de todos!
>>
>>
>>
>> --
>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>
>> Lista de discussão Ubuntu Brasil
>> Histórico, descadastramento e outras opções:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>



--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

PAULO FERNANDES-3
Boa!

Vamos ver se entendi: o invasor digita uma senha no campo apropriado.
Essa senha é comparada com a tabela de Usuários+Senha, correto?
A função que faz a comparação devolve V ou F, é isso?
Não seria aqui a hora de incrementar as tentativas infrutíferas?

Votos de sucesso!

Paulo










Em 6 de junho de 2018 16:01, Henrique Fagundes <[hidden email]>
escreveu:

> Prezado,
>
> E como eu implementaria esta variável?!
>
> Atenciosamente,
>
> Henrique Fagundes
> [hidden email]
> Skype: magnata-br-rj
> Linux User: 475399
>
> https://www.aprendendolinux.com
> https://www.facebook.com/AprendendoLinux
> https://youtube.com/AprendendoLinux
> https://twitter.com/AprendendoLinux
> https://telegram.me/AprendendoLinux
> ______________________________________________________________________
> Participe do Grupo Aprendendo Linux
> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>
> Ou envie um e-mail para:
> [hidden email]
>
> Em 06/06/2018 15:25, Paulo Fernandes escreveu:
>
>> Uma variável de memória contando
>> as tentativas infrutíferas não solucionaria?
>>
>>
>>
>>
>>
>> Em 3 de junho de 2018 13:46, Henrique Fagundes <
>> [hidden email]>
>> escreveu:
>>
>> Prezado Colegas,
>>>
>>> Prezados Colegas,
>>>
>>> Primeiramente saudações “pinguianas” a todos.
>>>
>>> Estou com uma dificuldade em utilizar o Fail2Ban junto com o software de
>>> gerência de listas de discussão MailMan.
>>>
>>> A minha ideia é que quando o invasor/atacante digitar incorretamente a
>>> senha do campo de login na interface web por mais de 3 vezes, ele seja
>>> bloqueado. Mas para que isso funcione, é necessário que o MailMan informe
>>> em seu log as tentativas de login sem sucesso.
>>>
>>> Já pesquisei para ver se existe algum plugin ou extensão (assim como
>>> existe para o Wordpress e PHPMyAdmin), mas parece que não há nada
>>> desenvolvido para isso.
>>>
>>> Então, gostaria de saber se alguém já teve a necessidade de fazer essa
>>> implementação, para que eu possa ter algum caminho.
>>>
>>> Se alguém puder me ajudar, ficarei muito grato.
>>>
>>> Atenciosamente,
>>>
>>> Henrique Fagundes
>>> Analista de Suporte Linux
>>> [hidden email]
>>> Skype: magnata-br-rj
>>> Linux User: 475399
>>>
>>> https://www.aprendendolinux.com
>>> https://www.facebook.com/AprendendoLinux
>>> https://youtube.com/AprendendoLinux
>>> https://twitter.com/AprendendoLinux
>>> https://telegram.me/AprendendoLinux
>>> ______________________________________________________________________
>>> Participe do Grupo Aprendendo Linux
>>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>>>
>>> Ou envie um e-mail para:
>>> [hidden email]
>>>
>>> BRASIL acima de tudo, DEUS acima de todos!
>>>
>>>
>>>
>>> --
>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>>
>>> Lista de discussão Ubuntu Brasil
>>> Histórico, descadastramento e outras opções:
>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>>
>>>
>
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

Henrique Fagundes-4
Prezado,

Eu preciso implementar algo no MailMan para que o mesmo sinalize ao
Syslog as tentativas de login sem sucesso.

Somente assim, o fail2ban conseguirá bloquear o IP do "invasor".

Atenciosamente,

Henrique Fagundes
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://telegram.me/AprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

Em 07/06/2018 22:14, Paulo Fernandes escreveu:

> Boa!
>
> Vamos ver se entendi: o invasor digita uma senha no campo apropriado.
> Essa senha é comparada com a tabela de Usuários+Senha, correto?
> A função que faz a comparação devolve V ou F, é isso?
> Não seria aqui a hora de incrementar as tentativas infrutíferas?
>
> Votos de sucesso!
>
> Paulo
>
>
>
>
>
>
>
>
>
>
> Em 6 de junho de 2018 16:01, Henrique Fagundes <[hidden email]>
> escreveu:
>
>> Prezado,
>>
>> E como eu implementaria esta variável?!
>>
>> Atenciosamente,
>>
>> Henrique Fagundes
>> [hidden email]
>> Skype: magnata-br-rj
>> Linux User: 475399
>>
>> https://www.aprendendolinux.com
>> https://www.facebook.com/AprendendoLinux
>> https://youtube.com/AprendendoLinux
>> https://twitter.com/AprendendoLinux
>> https://telegram.me/AprendendoLinux
>> ______________________________________________________________________
>> Participe do Grupo Aprendendo Linux
>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>>
>> Ou envie um e-mail para:
>> [hidden email]
>>
>> Em 06/06/2018 15:25, Paulo Fernandes escreveu:
>>
>>> Uma variável de memória contando
>>> as tentativas infrutíferas não solucionaria?
>>>
>>>
>>>
>>>
>>>
>>> Em 3 de junho de 2018 13:46, Henrique Fagundes <
>>> [hidden email]>
>>> escreveu:
>>>
>>> Prezado Colegas,
>>>>
>>>> Prezados Colegas,
>>>>
>>>> Primeiramente saudações “pinguianas” a todos.
>>>>
>>>> Estou com uma dificuldade em utilizar o Fail2Ban junto com o software de
>>>> gerência de listas de discussão MailMan.
>>>>
>>>> A minha ideia é que quando o invasor/atacante digitar incorretamente a
>>>> senha do campo de login na interface web por mais de 3 vezes, ele seja
>>>> bloqueado. Mas para que isso funcione, é necessário que o MailMan informe
>>>> em seu log as tentativas de login sem sucesso.
>>>>
>>>> Já pesquisei para ver se existe algum plugin ou extensão (assim como
>>>> existe para o Wordpress e PHPMyAdmin), mas parece que não há nada
>>>> desenvolvido para isso.
>>>>
>>>> Então, gostaria de saber se alguém já teve a necessidade de fazer essa
>>>> implementação, para que eu possa ter algum caminho.
>>>>
>>>> Se alguém puder me ajudar, ficarei muito grato.
>>>>
>>>> Atenciosamente,
>>>>
>>>> Henrique Fagundes
>>>> Analista de Suporte Linux
>>>> [hidden email]
>>>> Skype: magnata-br-rj
>>>> Linux User: 475399
>>>>
>>>> https://www.aprendendolinux.com
>>>> https://www.facebook.com/AprendendoLinux
>>>> https://youtube.com/AprendendoLinux
>>>> https://twitter.com/AprendendoLinux
>>>> https://telegram.me/AprendendoLinux
>>>> ______________________________________________________________________
>>>> Participe do Grupo Aprendendo Linux
>>>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>>>>
>>>> Ou envie um e-mail para:
>>>> [hidden email]
>>>>
>>>> BRASIL acima de tudo, DEUS acima de todos!
>>>>
>>>>
>>>>
>>>> --
>>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>>>
>>>> Lista de discussão Ubuntu Brasil
>>>> Histórico, descadastramento e outras opções:
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>>>
>>>>
>>
>>
>> --
>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>
>> Lista de discussão Ubuntu Brasil
>> Histórico, descadastramento e outras opções:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>



--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

PAULO FERNANDES-3
Prezado Henrique,

estás lidando com o MailMan, o Syslog e o fail2ban (tem coisa grega aí,
pra mim!). Como eles se interrelacionam? Quem faz a aprovação do Usuário
e Senha? O MailMan? Olha, sem nem entender direito tua problemática,
deve haver, sim, uma maneira de implementar isso que queres!
Se estiveres disposto, que tal mapear um pouco melhor esse nó?
Valeu!

Paulo




Em 8 de junho de 2018 11:20, Henrique Fagundes <[hidden email]>
escreveu:

> Prezado,
>
> Eu preciso implementar algo no MailMan para que o mesmo sinalize ao Syslog
> as tentativas de login sem sucesso.
>
> Somente assim, o fail2ban conseguirá bloquear o IP do "invasor".
>
> Atenciosamente,
>
> Henrique Fagundes
> [hidden email]
> Skype: magnata-br-rj
> Linux User: 475399
>
> https://www.aprendendolinux.com
> https://www.facebook.com/AprendendoLinux
> https://youtube.com/AprendendoLinux
> https://twitter.com/AprendendoLinux
> https://telegram.me/AprendendoLinux
> ______________________________________________________________________
> Participe do Grupo Aprendendo Linux
> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>
> Ou envie um e-mail para:
> [hidden email]
>
> Em 07/06/2018 22:14, Paulo Fernandes escreveu:
>
>> Boa!
>>
>> Vamos ver se entendi: o invasor digita uma senha no campo apropriado.
>> Essa senha é comparada com a tabela de Usuários+Senha, correto?
>> A função que faz a comparação devolve V ou F, é isso?
>> Não seria aqui a hora de incrementar as tentativas infrutíferas?
>>
>> Votos de sucesso!
>>
>> Paulo
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> Em 6 de junho de 2018 16:01, Henrique Fagundes <
>> [hidden email]>
>> escreveu:
>>
>> Prezado,
>>>
>>> E como eu implementaria esta variável?!
>>>
>>> Atenciosamente,
>>>
>>> Henrique Fagundes
>>> [hidden email]
>>> Skype: magnata-br-rj
>>> Linux User: 475399
>>>
>>> https://www.aprendendolinux.com
>>> https://www.facebook.com/AprendendoLinux
>>> https://youtube.com/AprendendoLinux
>>> https://twitter.com/AprendendoLinux
>>> https://telegram.me/AprendendoLinux
>>> ______________________________________________________________________
>>> Participe do Grupo Aprendendo Linux
>>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>>>
>>> Ou envie um e-mail para:
>>> [hidden email]
>>>
>>> Em 06/06/2018 15:25, Paulo Fernandes escreveu:
>>>
>>> Uma variável de memória contando
>>>> as tentativas infrutíferas não solucionaria?
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> Em 3 de junho de 2018 13:46, Henrique Fagundes <
>>>> [hidden email]>
>>>> escreveu:
>>>>
>>>> Prezado Colegas,
>>>>
>>>>>
>>>>> Prezados Colegas,
>>>>>
>>>>> Primeiramente saudações “pinguianas” a todos.
>>>>>
>>>>> Estou com uma dificuldade em utilizar o Fail2Ban junto com o software
>>>>> de
>>>>> gerência de listas de discussão MailMan.
>>>>>
>>>>> A minha ideia é que quando o invasor/atacante digitar incorretamente a
>>>>> senha do campo de login na interface web por mais de 3 vezes, ele seja
>>>>> bloqueado. Mas para que isso funcione, é necessário que o MailMan
>>>>> informe
>>>>> em seu log as tentativas de login sem sucesso.
>>>>>
>>>>> Já pesquisei para ver se existe algum plugin ou extensão (assim como
>>>>> existe para o Wordpress e PHPMyAdmin), mas parece que não há nada
>>>>> desenvolvido para isso.
>>>>>
>>>>> Então, gostaria de saber se alguém já teve a necessidade de fazer essa
>>>>> implementação, para que eu possa ter algum caminho.
>>>>>
>>>>> Se alguém puder me ajudar, ficarei muito grato.
>>>>>
>>>>> Atenciosamente,
>>>>>
>>>>> Henrique Fagundes
>>>>> Analista de Suporte Linux
>>>>> [hidden email]
>>>>> Skype: magnata-br-rj
>>>>> Linux User: 475399
>>>>>
>>>>> https://www.aprendendolinux.com
>>>>> https://www.facebook.com/AprendendoLinux
>>>>> https://youtube.com/AprendendoLinux
>>>>> https://twitter.com/AprendendoLinux
>>>>> https://telegram.me/AprendendoLinux
>>>>> ______________________________________________________________________
>>>>> Participe do Grupo Aprendendo Linux
>>>>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>>>>>
>>>>> Ou envie um e-mail para:
>>>>> [hidden email]
>>>>>
>>>>> BRASIL acima de tudo, DEUS acima de todos!
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>>>>
>>>>> Lista de discussão Ubuntu Brasil
>>>>> Histórico, descadastramento e outras opções:
>>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>>>>
>>>>>
>>>>>
>>>
>>> --
>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>>
>>> Lista de discussão Ubuntu Brasil
>>> Histórico, descadastramento e outras opções:
>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>>
>>>
>
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

Adauto Serpa
Henrique/Pessoal,

Não dá para usar variável. O fail2ban trabalha da seguinte maneira: ele
olha o log da aplicação e faz a contagem. O que você precisa implementar é
o log do Mailman para que informe a falha de autenticação como você mesmo
disse, depois no fail2ban dizer que linhas e parte do log vai ler para
realizar uma ação relacionada a esse evento.

Aqui temos uma jail para o serviço ssh que faz o bloqueio em 3 tentativas,
onde fica o log e outras configurações:
/etc/fail2ban/jail.conf

[sshd]

enabled = true
port    = ssh
logpath = /var/log/auth.log
backend = %(sshd_backend)s
maxretry = 3
findtime = 60
# 604800 = 1 week
bantime = 604800
action = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s",
port="%(port)s", protocol="tcp", chain="%(chain)s",
actname=%(banaction)s-tcp]
         %(mta)s-whois-lines[name=%(__name__)s, sender="%(sender)s",
dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]


Aqui a regex para o fail2ban localizar no log os eventos e executar as
actions
/etc/fail2ban/filter.d/sshd.conf

# Fail2Ban filter for openssh
#
# If you want to protect OpenSSH from being bruteforced by password
# authentication then get public key authentication working before disabling
# PasswordAuthentication in sshd_config.
#
#
# "Connection from <HOST> port \d+" requires LogLevel VERBOSE in sshd_config
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[DEFAULT]

_daemon = sshd

# optional prefix (logged from several ssh versions) like "error: ",
"error: PAM: " or "fatal: "
__pref = (?:(?:error|fatal): (?:PAM: )?)?
# optional suffix (logged from several ssh versions) like " [preauth]"
__suff = (?: \[preauth\])?\s*
__on_port_opt = (?: port \d+)?(?: on \S+(?: port \d+)?)?

# single line prefix:
__prefix_line_sl = %(__prefix_line)s%(__pref)s
# multi line prefixes (for first and second lines):
__prefix_line_ml1 = (?P<__prefix>%(__prefix_line)s)%(__pref)s
__prefix_line_ml2 = %(__suff)s$<SKIPLINES>^(?P=__prefix)%(__pref)s

mode = %(normal)s

normal = ^%(__prefix_line_sl)s[aA]uthentication (?:failure|error|failed)
for .* from <HOST>( via \S+)?\s*%(__suff)s$
         ^%(__prefix_line_sl)sUser not known to the underlying
authentication module for .* from <HOST>\s*%(__suff)s$
         ^%(__prefix_line_sl)sFailed \S+ for (?P<cond_inv>invalid user
)?(?P<user>(?P<cond_user>\S+)|(?(cond_inv)(?:(?! from ).)*?|[^:]+)) from
<HOST>%(__on_port_opt)s(?: ssh\d*)?(?(cond_user): |(?:(?:(?! from ).)*)$)
         ^%(__prefix_line_sl)sROOT LOGIN REFUSED.* FROM <HOST>\s*%(__suff)s$
         ^%(__prefix_line_sl)s[iI](?:llegal|nvalid) user .*? from
<HOST>%(__on_port_opt)s\s*$
         ^%(__prefix_line_sl)sUser .+ from <HOST> not allowed because not
listed in AllowUsers\s*%(__suff)s$
         ^%(__prefix_line_sl)sUser .+ from <HOST> not allowed because
listed in DenyUsers\s*%(__suff)s$
         ^%(__prefix_line_sl)sUser .+ from <HOST> not allowed because not
in any group\s*%(__suff)s$
         ^%(__prefix_line_sl)srefused connect from \S+
\(<HOST>\)\s*%(__suff)s$
         ^%(__prefix_line_sl)sReceived disconnect from
<HOST>%(__on_port_opt)s:\s*3: .*: Auth fail%(__suff)s$
         ^%(__prefix_line_sl)sUser .+ from <HOST> not allowed because a
group is listed in DenyGroups\s*%(__suff)s$
         ^%(__prefix_line_sl)sUser .+ from <HOST> not allowed because none
of user's groups are listed in AllowGroups\s*%(__suff)s$
         ^%(__prefix_line_sl)spam_unix\(sshd:auth\):\s+authentication
failure;\s*logname=\S*\s*uid=\d*\s*euid=\d*\s*tty=\S*\s*ruser=\S*\s*rhost=<HOST>\s.*%(__suff)s$
         ^%(__prefix_line_sl)s(error: )?maximum authentication attempts
exceeded for .* from <HOST>%(__on_port_opt)s(?: ssh\d*)? \[preauth\]$
         ^%(__prefix_line_ml1)sUser .+ not allowed because account is
locked%(__prefix_line_ml2)sReceived disconnect from <HOST>: 11:
.+%(__suff)s$
         ^%(__prefix_line_ml1)sDisconnecting: Too many authentication
failures for .+?%(__prefix_line_ml2)sConnection closed by <HOST>%(__suff)s$
         ^%(__prefix_line_ml1)sConnection from
<HOST>%(__on_port_opt)s%(__prefix_line_ml2)sDisconnecting: Too many
authentication failures for .+%(__suff)s$


Estranho o Mailman não informar as falhas de login no log.
Aqui tem um thread sobre a mesma dúvida
https://mail.python.org/pipermail/mailman-users/2012-May/073532.html

Sugiro você ler a documentação na parte do logs para tentar achar
informações sobre como funciona o log do Mailman
Caso não exista, não haverá outra maneira a não ser mexer no código.

Atenciosamente,

Adauto Serpa
Analista de Infraestrutura TI



Em sáb, 9 de jun de 2018 às 13:22, Paulo Fernandes <[hidden email]>
escreveu:

> Prezado Henrique,
>
> estás lidando com o MailMan, o Syslog e o fail2ban (tem coisa grega aí,
> pra mim!). Como eles se interrelacionam? Quem faz a aprovação do Usuário
> e Senha? O MailMan? Olha, sem nem entender direito tua problemática,
> deve haver, sim, uma maneira de implementar isso que queres!
> Se estiveres disposto, que tal mapear um pouco melhor esse nó?
> Valeu!
>
> Paulo
>
>
>
>
> Em 8 de junho de 2018 11:20, Henrique Fagundes <
> [hidden email]>
> escreveu:
>
> > Prezado,
> >
> > Eu preciso implementar algo no MailMan para que o mesmo sinalize ao
> Syslog
> > as tentativas de login sem sucesso.
> >
> > Somente assim, o fail2ban conseguirá bloquear o IP do "invasor".
> >
> > Atenciosamente,
> >
> > Henrique Fagundes
> > [hidden email]
> > Skype: magnata-br-rj
> > Linux User: 475399
> >
> > https://www.aprendendolinux.com
> > https://www.facebook.com/AprendendoLinux
> > https://youtube.com/AprendendoLinux
> > https://twitter.com/AprendendoLinux
> > https://telegram.me/AprendendoLinux
> > ______________________________________________________________________
> > Participe do Grupo Aprendendo Linux
> > https://listas.aprendendolinux.com/listinfo/aprendendolinux
> >
> > Ou envie um e-mail para:
> > [hidden email]
> >
> > Em 07/06/2018 22:14, Paulo Fernandes escreveu:
> >
> >> Boa!
> >>
> >> Vamos ver se entendi: o invasor digita uma senha no campo apropriado.
> >> Essa senha é comparada com a tabela de Usuários+Senha, correto?
> >> A função que faz a comparação devolve V ou F, é isso?
> >> Não seria aqui a hora de incrementar as tentativas infrutíferas?
> >>
> >> Votos de sucesso!
> >>
> >> Paulo
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >> Em 6 de junho de 2018 16:01, Henrique Fagundes <
> >> [hidden email]>
> >> escreveu:
> >>
> >> Prezado,
> >>>
> >>> E como eu implementaria esta variável?!
> >>>
> >>> Atenciosamente,
> >>>
> >>> Henrique Fagundes
> >>> [hidden email]
> >>> Skype: magnata-br-rj
> >>> Linux User: 475399
> >>>
> >>> https://www.aprendendolinux.com
> >>> https://www.facebook.com/AprendendoLinux
> >>> https://youtube.com/AprendendoLinux
> >>> https://twitter.com/AprendendoLinux
> >>> https://telegram.me/AprendendoLinux
> >>> ______________________________________________________________________
> >>> Participe do Grupo Aprendendo Linux
> >>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
> >>>
> >>> Ou envie um e-mail para:
> >>> [hidden email]
> >>>
> >>> Em 06/06/2018 15:25, Paulo Fernandes escreveu:
> >>>
> >>> Uma variável de memória contando
> >>>> as tentativas infrutíferas não solucionaria?
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> Em 3 de junho de 2018 13:46, Henrique Fagundes <
> >>>> [hidden email]>
> >>>> escreveu:
> >>>>
> >>>> Prezado Colegas,
> >>>>
> >>>>>
> >>>>> Prezados Colegas,
> >>>>>
> >>>>> Primeiramente saudações “pinguianas” a todos.
> >>>>>
> >>>>> Estou com uma dificuldade em utilizar o Fail2Ban junto com o software
> >>>>> de
> >>>>> gerência de listas de discussão MailMan.
> >>>>>
> >>>>> A minha ideia é que quando o invasor/atacante digitar incorretamente
> a
> >>>>> senha do campo de login na interface web por mais de 3 vezes, ele
> seja
> >>>>> bloqueado. Mas para que isso funcione, é necessário que o MailMan
> >>>>> informe
> >>>>> em seu log as tentativas de login sem sucesso.
> >>>>>
> >>>>> Já pesquisei para ver se existe algum plugin ou extensão (assim como
> >>>>> existe para o Wordpress e PHPMyAdmin), mas parece que não há nada
> >>>>> desenvolvido para isso.
> >>>>>
> >>>>> Então, gostaria de saber se alguém já teve a necessidade de fazer
> essa
> >>>>> implementação, para que eu possa ter algum caminho.
> >>>>>
> >>>>> Se alguém puder me ajudar, ficarei muito grato.
> >>>>>
> >>>>> Atenciosamente,
> >>>>>
> >>>>> Henrique Fagundes
> >>>>> Analista de Suporte Linux
> >>>>> [hidden email]
> >>>>> Skype: magnata-br-rj
> >>>>> Linux User: 475399
> >>>>>
> >>>>> https://www.aprendendolinux.com
> >>>>> https://www.facebook.com/AprendendoLinux
> >>>>> https://youtube.com/AprendendoLinux
> >>>>> https://twitter.com/AprendendoLinux
> >>>>> https://telegram.me/AprendendoLinux
> >>>>>
> ______________________________________________________________________
> >>>>> Participe do Grupo Aprendendo Linux
> >>>>> https://listas.aprendendolinux.com/listinfo/aprendendolinux
> >>>>>
> >>>>> Ou envie um e-mail para:
> >>>>> [hidden email]
> >>>>>
> >>>>> BRASIL acima de tudo, DEUS acima de todos!
> >>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >>>>>
> >>>>> Lista de discussão Ubuntu Brasil
> >>>>> Histórico, descadastramento e outras opções:
> >>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >>>>>
> >>>>>
> >>>>>
> >>>
> >>> --
> >>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >>>
> >>> Lista de discussão Ubuntu Brasil
> >>> Histórico, descadastramento e outras opções:
> >>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >>>
> >>>
> >
> >
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

PAULO FERNANDES-3
Tutto questo?!
Matou a pau, Adauto!
Que fale o Fagundes...
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Fail2ban na interface Web do Mailman"

Henrique Fagundes-4
Prezado,

Estou estudando a possibilidade de fazer o MailMan cuspir nos logs as
tentativas falhadas.

Se eu conseguir isso, fica fácil fazer o bloqueio com o Fail2Ban.

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://telegram.me/AprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!

Em 11/06/2018 16:53, Paulo Fernandes escreveu:
> Tutto questo?!
> Matou a pau, Adauto!
> Que fale o Fagundes...
>



--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br