We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
fail2ban не блокирует bruteforce на dovecot
fail2ban не блокирует bruteforce на dovecot
Собственно вся суть в заголовке.
По логами вижу, что кто-то балуется с dovecot, перебирая пароли.
Вот логи: http://pastebin.com/pZKGyJun
Вот содержимое jail.local
Как быть? Как заблокировать назойливый перебор паролей и имейлов?
По логами вижу, что кто-то балуется с dovecot, перебирая пароли.
Вот логи: http://pastebin.com/pZKGyJun
Вот содержимое jail.local
Code: Select all
[ssh-iptables]
enabled = true
filter = sshd
action = vesta[name=SSH]
logpath = /var/log/auth.log
maxretry = 5
[vsftpd-iptables]
enabled = false
filter = vsftpd
action = vesta[name=FTP]
logpath = /var/log/vsftpd.log
maxretry = 5
[exim-iptables]
enabled = true
filter = exim
action = vesta[name=MAIL]
logpath = /var/log/exim4/mainlog
[dovecot-iptables]
enabled = true
filter = dovecot
action = vesta[name=MAIL]
logpath = /var/log/dovecot.log
[mysqld-iptables]
enabled = false
filter = mysqld-auth
action = vesta[name=DB]
logpath = /var/log/mysql.log
maxretry = 5
[vesta-iptables]
enabled = true
filter = vesta
action = vesta[name=VESTA]
logpath = /var/log/vesta/auth.log
maxretry = 5
Re: fail2ban не блокирует bruteforce на dovecot
Есть такое предложение, добавить в /etc/fail2ban/jail.conf следующее:
Перезапустить fail2ban.
Проверить и написать по результатам.
Code: Select all
[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
logpath = /var/log/dovecot.log
maxretry = 10
findtime = 1200
bantime = 12000
Проверить и написать по результатам.
Re: fail2ban не блокирует bruteforce на dovecot
Добавил, fail2ban больше не стартует. В логах /var/log/fail2ban.log последние записи:
Code: Select all
2016-01-19 13:13:50,869 fail2ban.server [1026]: INFO Stopping all jails
2016-01-19 13:13:50,979 fail2ban.jail [1026]: INFO Jail 'vesta-iptables' stopped
2016-01-19 13:13:51,963 fail2ban.jail [1026]: INFO Jail 'exim-iptables' stopped
2016-01-19 13:13:52,959 fail2ban.jail [1026]: INFO Jail 'dovecot-iptables' stopped
2016-01-19 13:13:53,943 fail2ban.jail [1026]: INFO Jail 'ssh' stopped
2016-01-19 13:13:54,975 fail2ban.jail [1026]: INFO Jail 'ssh-iptables' stopped
2016-01-19 13:13:54,982 fail2ban.server [1026]: INFO Exiting Fail2ban
Re: fail2ban не блокирует bruteforce на dovecot
Убирайте.DevilStar wrote:Добавил, fail2ban больше не стартует. В логах /var/log/fail2ban.log последние записи
И попробуйте просто поставить true в существующее правило в /etc/fail2ban/jail.conf (только обратите внимание на путь к логу.
Code: Select all
[dovecot]
enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/dovecot.log
Re: fail2ban не блокирует bruteforce на dovecot
У меня там и так стоит true, и это не работает. Брутфорс продолжается.
Re: fail2ban не блокирует bruteforce на dovecot
Адреса так полагаю очень разные и блокировать руками не особо вариант?DevilStar wrote:У меня там и так стоит true, и это не работает. Брутфорс продолжается.
Re: fail2ban не блокирует bruteforce на dovecot
Да, каждый день меняются, а то и по несколько раз. Оно вроде и нагрузку не создает, но всё равно ничего хорошего.