fail2ban i pop3+imap

Kako koristeći fail2ban registrujemo neuspešno logovanje na SquirrelMail webmail :
U fajlu /etc/fail2ban/jail.conf dodajemo sledeće :
[imap-login]
enabled = true
filter = imap-login
action = iptables-multiport[name=BadBots, port=”http,https,pop3,pop3s,imap,imaps”, protocol=tcp”]
sendmail-buffered[name=BadBots, lines=5, dest=admin-postmaster@moj.domen]
logpath = /var/log/messages
maxretry = 3

Kreiramo fajl /etc/fail2ban/filter.d/imap-login.conf :
[INCLUDES]
before = common.conf
[Definition]
_daemon = (?:ipop3d|imapd)
failregex = ^%(__prefix_line)sLogin (?:failed|excessive login failures) user=\S* auth=\S* host=.*\[\]\s*$
ignoreregex =

Ovime se hvata ovakav upis u /var/log/messages :
Jan 16 13:07:00 mail-server imapd[30041]: Login failed user=korisnik auth=korisnik host=mail-server.moj.domen [10.10.10.11]
Ili :
Jan 16 13:26:53 mail-server pop(pam_unix)[30585]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=10.10.10.12 user=korisnik
Jan 16 13:26:56 mail-server ipop3d[30585]: Login failed user=korisnik auth=korisnik host=[10.10.10.12]

Dakle ako neko pokuša da se više od tri puta falš loguje kroz webmail, ili pop3 (Outlook i slično), http(s) pristup serveru se blokira na 600 sekundi (default vreme), a takođe u drugom slučaju se pristup po pop3 portu zabrani za 600sec za adresu sa koje je rađeno falš logovanje, kao i http(s) na server.

Zgodan link.

This entry was posted in Linux and tagged , , . Bookmark the permalink.

Comments are closed.