Защита Zimbra 8.8.5 с помощью Fail2ban?

Question

[Sapsaner]

Всем доброго времени суток!
Установил я fail2ban на сервер под управлением Centos 7, настроил защиту на службу ssh, webmin, но вот что то Zimbra защитить не получается.
Проблема в том что фильтр не срабатывает, перечитал весь интернет, нет рабочего фильтра, самому не получается сообразить, как правильно написать регулярное выражения для лога:
2019-01-23 11:58:37,185 WARN [qtp335471116-3099:https:https://192.168.1.15:7071/service/admin/soap/AuthR... [ip=192.168.1.129;port=49224;ua=ZimbraWebClient - FF64 (Win);] security - cmd=AdminAuth; account=4353453453453453; error=authentication failed for [4353453453453453];
Захожу со своего компьютера, набираю в браузере адрес сервера, имитирую ошибочный вход, используя выдуманный аккаунт и пароль, но защита не срабатывает, регулярное выражение не работает.
Есть у кого фильтры для Zimbra? Буду очень благодарен, за помощь!

Answer 1

[Александр Целых]

Сам таким пользуюсь:

failregex = \[ip=<HOST>;\] account - authentication failed for .* \(no such account\)$
                        \[ip=<HOST>;\] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        \[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

Comments

[Kekcick]

Можете пожалуйста поделится своими config на fail2ban.

Answer 2

[arto]

а какой у вас фильтр?

Answer 3

[Di ExTreMe]

Дополнительные конфиги
zimbra-admin.conf

[Definition]
#
failregex = INFO .*;ip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, invalid password$
            INFO .*ip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$

ignoreregex =

zimbra-webmain.conf port:7071

[Definition]
#
failregex = \[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
            INFO .*;oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, invalid password$

ignoreregex =

zimbra-submission.conf

[Definition]
#
failregex = postfix\/submission\/smtpd\[\d+\]: warning: .*\[<HOST>\]: SASL \w+ authentication failed: authentication failure$
            postfix\/smtps\/smtpd\[\d+\]: warning: .*\[<HOST>\]: SASL \w+ authentication failed: authentication failure$

ignoreregex =