Une regex sur plusieurs lignes dans ce cas, ça n'a pas de sens... Plusieurs évènements peuvent se "chevaucher" et ta regex ne serait pas d'une grande fiabilité...
Il faudrait bidouiller pptpd pour qu'il log une ligne avec l'ip et le statut de l'authentification chap quelquepart, c'est sans doute possible ; et ensuite on pourrait le pluguer facilement à fail2ban.
J'ai le même soucis en tous cas, et en attendant de trouver la solution j'ai ajouté ces deux lignes dans ma config iptables pour au moins limiter la fréquence de connexion à pptp (comme de plus je recois un compte rendu dans l'heure avec logcheck si quelqu'un essaye de se connecter, une tentative de brute force a vraiment peu de chance de réussir)
Ce n'est pas exactement ce que j'aurais voulu mais en tous cas, ca rend les tentatives d'attaques par brute force sans espoir 🙂
Il faudrait bidouiller pptpd pour qu'il log une ligne avec l'ip et le statut de l'authentification chap quelquepart, c'est sans doute possible ; et ensuite on pourrait le pluguer facilement à fail2ban.
J'ai le même soucis en tous cas, et en attendant de trouver la solution j'ai ajouté ces deux lignes dans ma config iptables pour au moins limiter la fréquence de connexion à pptp (comme de plus je recois un compte rendu dans l'heure avec logcheck si quelqu'un essaye de se connecter, une tentative de brute force a vraiment peu de chance de réussir)
iptables -I INPUT -p tcp --dport 1723 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 1723 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j REJECTCe n'est pas exactement ce que j'aurais voulu mais en tous cas, ca rend les tentatives d'attaques par brute force sans espoir 🙂