Так сложилось,что меня конкретно зебали тонны сообщений в логах о превышенных лимитах одновременных подключений к почтовику ( Maximum connection limit reached). Да и всем понятно что с левых адресов с такой кучей коннектов явно идет перебор паролей к почте. Так как я юзаю fail2ban для таких поверхностных защит от брутов,то я написал такой вот доп.конфиг для fail2ban на основе имеющихся:
1)Создаем конфиг: nano /etc/fail2ban/filter.d/pop3d-conlimit.conf и в нем пишем:
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
# Modified: RUSUA for pop3d
#
# $Revision: 3$
#
[Definition]
# Error message specified in multiple languages
__errmsg = (?:Maximum connection limit reached for|Erreur d’authentification pour l’utilisateur)
#
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named «host». The tag «<HOST>» can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = pop3d: Maximum connection limit reached for ::ffff:<HOST>
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Сохраняем.Если у вас РОР3 демон не pop3d,а например couriertcpd то меняем строчку failregex = pop3d: на ваш демон,например couriertcpd: Maximum connection limit reached for ::ffff:<HOST>. Теперь можно проверить работает ли парсинг нашего лога.Главное что б в почтовом логе были реальные сообщения об этих лимитах.Проверяем:
fail2ban-regex ‘/var/log/mail.err’ ‘/etc/fail2ban/filter.d/pop3d-conlimit.conf’
Должно быть что то типа:
Summary
=======
Addresses found:
[1]
46.247.242.182 (Mon Jun 24 08:12:33 2013)
46.247.242.182 (Mon Jun 24 09:33:21 2013)
46.247.242.182 (Mon Jun 24 10:07:57 2013)
46.247.242.182 (Mon Jun 24 10:07:58 2013)
2)Редактируем /etc/fail2ban/jail.conf. Добавляем туда след.:
[pop3d-conlimit]
enabled = true
port = pop3,pop3s
filter = pop3d-conlimit
logpath = /var/log/mail.err
maxretry = 5
Сохраняем и перезагружаем: /etc/init.d/fail2ban restart
Далее посматриваем логи фейлтубана на предмет срабатываний))