艾瑞克的 Hexo 空間

[筆記] 用 denyhosts 來阻擋 Dovecot 暴力測試帳號密碼

本文發表於838天之前,文章內容可能已經過時,如有疑問,請聯繫作者。

OS:FC13

Dovecot: 1.2.16

logfile: /var/log/secure

 

修改 denyhosts.conf

將 #USERDEF_FAILED_ENTRY_REGEX= 前面的 # 拿掉

改為

USERDEF_FAILED_ENTRY_REGEX= pam.dovecot.(?:authentication failure).rhost=(?:::f{4,6}:)?(?P<host>\S)
理論上應該就可以了..

不過不知道為啥,雖然語法比對有抓到IP,但是不會加入 hosts.deny

最後實在是找不出原因,也不曉得該去哪裡問,改用 fail2ban 來處理了

修改 /etc/fail2ban/jail.conf,加入底下這段

[dovecot-c]

enabled = true

filter = dovecot-check

backend = polling

action = iptables-multiport[name=dovecot-check, port=”pop3,pop3s,imap,imaps”, protocol=tcp]

logpath = /var/log/secure

ignoreip = 127.0.0.1 , 192.168.10.240

bantime = 36000

findtime = 60

maxretry = 3
 

找一台機器來測試看看,/var/log/fail2ban.log 有出現這樣的訊息

fail2ban.actions: WARNING [dovecot-c] Ban 192.168.40.233
然後測試的Client 的 Outlook 也沒有辦法再收發信件,連密碼錯誤的訊息都不會跳出,這樣應該是成功了

 

avatar
[敗家] 超多功能的薄外套