Come dovrebbe apparire l'output di fail2ban postfix-sasl

2

Voglio essere sicuro che fail2ban stia correttamente mettendo al bando i tentativi di accesso SASL postfix falliti.

Quando faccio iptables -L Riesco a vedere l'elenco degli host bannati per SSHD, ma non riesco a trovare un modo per vedere gli host bannati per SASL.

è abilitato il suffisso SASL, che posso confermare con:

fail2ban-client status
Status
|- Number of jail:  4
'- Jail list:   dovecot, postfix, postfix-sasl, sshd

E posso confermare che ci sono tentativi di accesso non riusciti, da mail.log, ad esempio:

Aug 31 22:23:49 host2 postfix/smtpd[35397]: warning: hostname systemip3.example.com does not resolve to address 91.200.12.100
Aug 31 22:23:49 host2 postfix/smtpd[35397]: connect from unknown[91.200.12.100]
Aug 31 22:23:52 host2 postfix/smtpd[35397]: warning: unknown[91.200.12.100]: SASL LOGIN authentication failed: authentication failure
Aug 31 22:23:52 host2 postfix/smtpd[35397]: lost connection after AUTH from unknown[91.200.12.100]
Aug 31 22:23:52 host2 postfix/smtpd[35397]: disconnect from unknown[91.200.12.100] ehlo=1 auth=0/1 commands=1/2
    
posta Aleksandar Pavić 31.08.2017 - 22:41
fonte

1 risposta

1

Sembra che abbia trovato una risposta alla mia stessa domanda, apparentemente fail2ban-client status dirà che il servizio è abilitato, anche se non esiste una regola di filtro per quel particolare divieto.

La soluzione era creare postfix-sasl.conf in /etc/fail2ban/filter.d/postfix-sasl.conf Con i seguenti contenuti:

# Fail2Ban filter for postfix authentication failures
#

[INCLUDES]

before = common.conf

[Definition]

_daemon = postfix/smtpd

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

# Author: Yaroslav Halchenko

e ricarica la configurazione con

fail2ban-client reload

Poi dopo un po 'iptables -L conferma che sta funzionando e mettendo al bando l'IP

Chain f2b-postfix-sasl (1 references)
target     prot opt source               destination         
REJECT     all  --  systemip8.example.com  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  systemip8.example.com  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  12.215.34.226        anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere        
    
risposta data 31.08.2017 - 22:51
fonte

Leggi altre domande sui tag