マビが実質24時間メンテのような状況になっててblogネタとしてはよろしいですが、まあそれは後日落ち着いた頃にでも。

　Fail2banはここ数ヶ月かなりいい仕事をしてるけど、Logwatchに時々ダバーと漏れる時もあって、その度に調整はしている。むしろこれは調整して使うツールかもしれない。極力手間を掛けない、という方針には反するけど。Snortとかそういうのだと手間要らずになるんかなあ…。まーいいか。Fail2banの設定するのも面白いし。
　普段はLogwatchだけ見ていて、リトライ上限回数以上の攻撃ログを残すホストがあるとFail2banから漏れているので設定を見直すのだが、最近はずっと漏れていなかった。が、昨日漏れていたので、まずログとフィルタを確認。漏れるとは思えない。fail2ban-regexでテストしてもちゃんと問題のホストは引っ掛かる。おかしいなあ、と思ってよくよく考えると、監視時間の設定の問題だった。この攻撃元は15分置きに一回という何だかゆるやかなペースで攻撃…、じゃないな、これ第三者中継のブロックじゃん。ってことはSPAMの再送か。なるほど。まあ弾くように設定を変えよう。
　もうちょっと前にミスしていたのはDovecotとの連動の設定で、dovecot.confのauth_verboseをyesにしないと引っ掛けられないっぽかった。Fail2banのwikiを見ると、Dovecotのバージョンに依存する面もありそうな雰囲気が。まあログの書式だろうから仕方ないといえば仕方ないな。
　過去のbanのログを見ると、全部PostfixかDovecotであった。同一フィルタにしてしまったせいで、第三者中継なのかPOPログインなのか分からんけど。SSHはポート変更するだけで一切来なくなるなあ、現状だと。ポートスキャンまではしないのか。そんなことせんでもいくらでもあるってことなのかなあ。