fail2ban

fail2ban ist ein nützliches Werkzeug um Angreifer und Störenfriede für eine Weile auszusperren.

Nach der Installation sollte man als erstes die jail.conf kopieren:

cp jail.conf jail.local

um eigene Einstellungen nicht durch Updates zu verlieren. Gearbeitet wird nur in der*.local.

Ebenso verhält es sich mit den Filtern in 'filter.d', auch dort sollte man den vorhandenen in einen eigenen kopieren um ihn zu erweitern:

cp postfix.conf postfix.local

Danach kann der Filter *.local entsprechend eigener Anforderungen bearbeitet werden, z.B.: Erweiterung mit:

^%(__prefix_line)swarning: Connection concurrency limit exceeded: \S+ from \S+\[<HOST>\] for service smtp$
#original:   postfix/smtpd[112311]: warning: Connection concurrency limit exceeded: 11 from foobar.dmz.tld[14.342.314.34] for service smtp

Ausserdem ist es eine sehr gute Idee den erstellten Filter auch zu testen:

 fail2ban-regex /var/log/messages<oder andere> /etc/fail2ban/filter.d/postfix.local

Erscheint der Regex dann in der Ausgabe, steht der Nutzung nichts mehr im Wege.