Fail2ban и Dovecot

Автор: | 8 сентября 2014

Открыл для себя недавно Fail2ban.

Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs — too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. google cloud . Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).

Fail2Ban is able to reduce the rate of incorrect authentications attempts however it cannot eliminate the risk that weak authentication presents. Configure services to use only two factor or public/private authentication mechanisms if you really want to protect services.

ну или по-русски

Fail2ban — простой в использовании локальный сервис, который отслеживает log–файлы запущенных программ, и на основании различных условий блокирует по IP найденных нарушителей.

Программа умеет бороться с различными атаками на все популярные *NIX–сервисы, такие как Apache, Nginx, ProFTPD, vsftpd, Exim, Postfix, named, и т.д.

Но в первую очередь Fail2ban известен благодаря готовности «из коробки» к защите SSH–сервера от атак типа «bruteforce», то есть к защите SSH от перебора паролей.

Порты SSH у меня закрыты изначально и доступны только для определенных айпишников из локалки, но вот для фильтрации трафика на Postfix и Dovecot — он мне очень подошел. Конфиги для Postfix есть в дистрибутиве по умолчанию и про них я писать не буду. Немного повозился с конфигами для Dovecot, и про них решил написать.

У меня Dovecot пишет свои логи в отдельный файл — /var/log/dovecot/dovecot-info.log (по умолчанию же все пишется в системный лог /var/log/maillog).

Первым делом пишем фильтр dovecot-pop3imap.conf в папке /etc/fail2ban/filter.d/

Теперь добавляем секцию в файл /etc/fail2ban/jail.conf:

То есть, если появится кто-то, кто в течение 20 минут 20 раз неправильно введет пароль — баним его IP на час. Нам почту приходит сообщение, что мол забанен такой-то и полная whois информация по хосту. Тут каждый волен выбрать для себя параметры за какое время, какое количество попыток проверять и на сколько банить.
Перезапускаем fail2ban, проверяем что в iptables появилось правило:

Добавить комментарий

Ваш адрес email не будет опубликован.

*