====== fail2ban ======

fail2ban ist ein nützliches Werkzeug um Angreifer und Störenfriede für eine Weile auszusperren.

Nach der Installation sollte man als erstes die jail.conf kopieren:

  cp jail.conf jail.local

um eigene Einstellungen nicht durch Updates zu verlieren. Gearbeitet wird nur in der*.local.

Ebenso verhält es sich mit den Filtern in 'filter.d', auch dort sollte man den vorhandenen in einen eigenen kopieren um ihn zu erweitern:

  cp postfix.conf postfix.local

Danach kann der Filter *.local entsprechend eigener Anforderungen bearbeitet werden, z.B.: Erweiterung mit:

  ^%(__prefix_line)swarning: Connection concurrency limit exceeded: \S+ from \S+\[<HOST>\] for service smtp$
  #original:   postfix/smtpd[112311]: warning: Connection concurrency limit exceeded: 11 from foobar.dmz.tld[14.342.314.34] for service smtp


Ausserdem ist es eine sehr gute Idee den erstellten Filter auch zu testen:

   fail2ban-regex /var/log/messages<oder andere> /etc/fail2ban/filter.d/postfix.local

Erscheint der Regex dann in der Ausgabe, steht der Nutzung nichts mehr im Wege.