Forum Linux.débutant Regex pour dovecot auth pam

• # À tester...

  Posté par Ellendhel (site web personnel) le 28 janvier 2026 à 22:26. Évalué à 4 (+2/-0).

  

  En utilisant grep tu pourrais arriver à tes fins :
  
grep "Password mismatch" dovecot.log | grep -o "contact,[^)]*" | sed 's/contact,//'

  Cela sélectionne toutes les lignes contenant "Password mismatch" et extrait la sous-chaîne "contact,122.184.124.78", et en dernier sed élimine "contact," pour ne garder que l'adresse IPv4.

  Le truc est de cibler la sous-chaîne "contact,122.184.124.78" qui est entre parenthèses. grep récupère tous les caractères après la virgule, sauf pour la parenthèse fermante. Potentiellement, cela devrait aussi fonctionner pour une adresse IPv6.

  Bien sûr c'est à valider avec un fichier de log complet.

  • [^] # Re: À tester...

    Posté par Ellendhel (site web personnel) le 28 janvier 2026 à 22:37. Évalué à 4 (+2/-0).

    

    Un commentaire supplémentaire : attention à ne pas bloquer immédiatement une adresse IP après une tentative d'accès avec un mauvais mot de passe, cela bloquerait aussi un utilisateur légitime simplement pour avoir fait une faute de frappe.

    Je recommanderais d'avoir un script lancé toute les cinq ou dix minutes et de chercher des adresses apparaissant plusieurs fois.

    Quelque chose du genre :
    
grep "Password mismatch" dovecot.log | grep -o "contact,[^)]*" | sed 's/contact,//' | sort | uniq -c | sort -nr

    Et après cela ne conserver que les lignes avec plus de x tentative (5 ? 10 ?).

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.