fail2ban не блокирует bruteforce на dovecot
fail2ban не блокирует bruteforce на dovecot
Собственно вся суть в заголовке.
По логами вижу, что кто-то балуется с dovecot, перебирая пароли.
Вот логи: http://pastebin.com/pZKGyJun
Вот содержимое jail.local
Как быть? Как заблокировать назойливый перебор паролей и имейлов?
По логами вижу, что кто-то балуется с dovecot, перебирая пароли.
Вот логи: http://pastebin.com/pZKGyJun
Вот содержимое jail.local
Code: Select all
[ssh-iptables]
enabled = true
filter = sshd
action = vesta[name=SSH]
logpath = /var/log/auth.log
maxretry = 5
[vsftpd-iptables]
enabled = false
filter = vsftpd
action = vesta[name=FTP]
logpath = /var/log/vsftpd.log
maxretry = 5
[exim-iptables]
enabled = true
filter = exim
action = vesta[name=MAIL]
logpath = /var/log/exim4/mainlog
[dovecot-iptables]
enabled = true
filter = dovecot
action = vesta[name=MAIL]
logpath = /var/log/dovecot.log
[mysqld-iptables]
enabled = false
filter = mysqld-auth
action = vesta[name=DB]
logpath = /var/log/mysql.log
maxretry = 5
[vesta-iptables]
enabled = true
filter = vesta
action = vesta[name=VESTA]
logpath = /var/log/vesta/auth.log
maxretry = 5
Re: fail2ban не блокирует bruteforce на dovecot
Есть такое предложение, добавить в /etc/fail2ban/jail.conf следующее:
Перезапустить fail2ban.
Проверить и написать по результатам.
Code: Select all
[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
logpath = /var/log/dovecot.log
maxretry = 10
findtime = 1200
bantime = 12000Проверить и написать по результатам.
Re: fail2ban не блокирует bruteforce на dovecot
Добавил, fail2ban больше не стартует. В логах /var/log/fail2ban.log последние записи:
Code: Select all
2016-01-19 13:13:50,869 fail2ban.server [1026]: INFO Stopping all jails
2016-01-19 13:13:50,979 fail2ban.jail [1026]: INFO Jail 'vesta-iptables' stopped
2016-01-19 13:13:51,963 fail2ban.jail [1026]: INFO Jail 'exim-iptables' stopped
2016-01-19 13:13:52,959 fail2ban.jail [1026]: INFO Jail 'dovecot-iptables' stopped
2016-01-19 13:13:53,943 fail2ban.jail [1026]: INFO Jail 'ssh' stopped
2016-01-19 13:13:54,975 fail2ban.jail [1026]: INFO Jail 'ssh-iptables' stopped
2016-01-19 13:13:54,982 fail2ban.server [1026]: INFO Exiting Fail2banRe: fail2ban не блокирует bruteforce на dovecot
Убирайте.DevilStar wrote:Добавил, fail2ban больше не стартует. В логах /var/log/fail2ban.log последние записи
И попробуйте просто поставить true в существующее правило в /etc/fail2ban/jail.conf (только обратите внимание на путь к логу.
Code: Select all
[dovecot]
enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/dovecot.logRe: fail2ban не блокирует bruteforce на dovecot
У меня там и так стоит true, и это не работает. Брутфорс продолжается.
Re: fail2ban не блокирует bruteforce на dovecot
Адреса так полагаю очень разные и блокировать руками не особо вариант?DevilStar wrote:У меня там и так стоит true, и это не работает. Брутфорс продолжается.
Re: fail2ban не блокирует bruteforce на dovecot
Да, каждый день меняются, а то и по несколько раз. Оно вроде и нагрузку не создает, но всё равно ничего хорошего.