VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Симуляция попыток неудачной авторизации для fail2ban

Проблемы Asterisk без вэб-оболочек и их решения

Модераторы: april22, Zavr2008

Ответить
rusya
Сообщения: 148
Зарегистрирован: 03 май 2011, 16:44

Симуляция попыток неудачной авторизации для fail2ban

Сообщение rusya »

В чем суть.
Обратил внимание на то, что
Asterisk 1.8.5 теперь вместо <HOST> теперь пишет <HOST>:port в логе. Например,

#tail ./messages |grep failed
[2011-08-11 19:31:04] NOTICE[1599] chan_sip.c: Registration from '"420" <sip:420@81.155.210.44>' failed for '191.10.62.108:5060' - No matching peer found

То есть в данном случае регулярное выражение в /etc/fail2ban/asterisk.conf надо поправить с:

NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found на:
NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - No matching peer found
Поскольку я не уверен, что порт в логе теперь дописывается во всех случаях, описанных в регулярных выражениях в файле /etc/fail2ban/asterisk.conf, нужно просимулировать эти ситуации и соответственно поправить регулярники. Некоторые понятно, как сделать, некоторые - нет.
Может, кто подскажет, как сымитировать нужную ситуацию?

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - Wrong password - ясен пень, неправильный пароль
NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - No matching peer found - нет такого номера, не заведен
NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - Username/auth name mismatch - непонятно
NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - Device does not match ACL - хост не указан в permit экстиншна
NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - Peer is not supposed to register - непонятно
NOTICE.* .*: Registration from '.*' failed for '<HOST>.*' - ACL error (permit/deny) непонятно
NOTICE.* <HOST>.* failed to authenticate as '.*'$ - непонятно
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\) - непонятно
NOTICE.* .*: Host <HOST>.* failed MD5 authentication for '.*' (.*) - непонятно
NOTICE.* .*: Failed to authenticate user .*@<HOST>.* - непонятно
либо заставить астериск не указывать порт в логе каким-нибудь образом
PS Рекомендую всем, кто использует fail2ban проверить, банит ли он после апгрейда.
Vlad1983
Сообщения: 4251
Зарегистрирован: 09 авг 2011, 11:51

Re: Симуляция попыток неудачной авторизации для fail2ban

Сообщение Vlad1983 »

а разве нельзя сдублировать все регекспы и поправить в них на отлов с портом
просто удет в 2 раза больше правил
ЛС: @rostel
rusya
Сообщения: 148
Зарегистрирован: 03 май 2011, 16:44

Re: Симуляция попыток неудачной авторизации для fail2ban

Сообщение rusya »

Точно! Совсем зашился. Спасибо.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH