Autore Topic: Problema con Fail2ban e servizio Vsftpd  (Letto 3424 volte)

Offline ch82

  • Jr. Member
  • **
  • Post: 27
    • Mostra profilo
Problema con Fail2ban e servizio Vsftpd
« il: 28 Ottobre 2010, 00:33:52 »
Ciao,
ho installato il tool fail2ban (versione  0.8.4-23.el5 tramite epel) su una Centos 5.5.

Funziona tutto regolarmente tranne il controllo dei log del servizio VSFTPD.
Blocca gli attacchi tramite Apache ed SSH ma con Vsftpd sembra non riesca a leggere o ad interpretare i log e non banna gli ip per questo servizio.

Di seguito i file cosė come li ho configurati
1)porzione del file /etc/vsftpd/vsftpd.conf:
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=NO
xferlog_enable=YES

2)porzione del file /etc/fail2ban/jail.conf
[vsftpd-iptables]
enabled  = true
filter   = vsftpd
action   = iptables[name=VSFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=VSFTPD]
logpath  = /var/log/vsftpd.log
maxretry = 5
bantime  = 1800

3)file /etc/fail2ban/filter.d/vsftpd.conf
failregex = vsftpd(?:\(pam_unix\))?(?:\[\d+\])?:.* authentication failure; .* rhost=<HOST>(?:\s+user=\S*)?\s*$
            \[.+\] FAIL LOGIN: Client "<HOST>"\s*$


Qualcuno ha il mio stesso problema?  ???
Le ho provate tutte e nel file vsftpd.log ci sono tutti le informazioni

Es file di log:
Wed Oct 27 21:58:59 2010 [pid 12942] CONNECT: Client "79.11.149.xx"
Wed Oct 27 21:59:02 2010 [pid 12941] [anonymous] FAIL LOGIN: Client "79.11.149.xx"

Attendo fiducioso, grazie  ;D


Offline ch82

  • Jr. Member
  • **
  • Post: 27
    • Mostra profilo
Re: Problema con Fail2ban e servizio Vsftpd
« Risposta #1 il: 28 Ottobre 2010, 00:58:02 »
Ciao,
ho fatto una nuova ricerca su internet e ho trovato la soluzione (č tutto il pomeriggio che ci sbattevo la testa  >:(  >:(  >:( )
Mancava il parametro use_localtime=YES in vsftpd.conf  :o


La soluzione l'ho trovato qui http://www.fail2ban.org/wiki/index.php/Vsftpd

Everything seems to work but no hosts are blocked? Try the following steps:

   1. Run "fail2ban-regex /var/log/vsftpd.log /etc/fail2ban/filter.d/vsftpd.conf" (or equal). Do you get a "Success, the total number of match is xyz" message at the end? If not: Check if the logfile entries fits the regexpression in filter.d/vsftpd.conf
   2. Check the timestamps in the vsftpd.log. You may need to add "use_localtime=YES" to /etc/vsftpd/vsftpd.conf