Назад | Перейти на главную страницу

Как бороться / предотвращать повторные попытки несанкционированного доступа к моему серверу postfix?

Недавно я установил свой первый постфиксный сервер и люблю жизнь. :)

Но сегодня я вошел на сервер, чтобы отладить некоторые проблемы с подключением, которые в конечном итоге оказались на моей стороне, и заметил в почтовом журнале, что был один IP-адрес, который продолжал забивать вход в систему SASL и, очевидно, не работал. Я забанил IP с помощью ufw, но это не очень эффективное решение. Мне остается только недоумевать, почему такое поведение разрешено по умолчанию, и что я могу сделать, чтобы противостоять этим типам атак.

  1. Почему этому IP было разрешено несколько раз не пройти аутентификацию, и почему он не был занесен в черный список? Что мне нужно изменить, чтобы это произошло?

  2. Есть ли способ настроить уведомления или предупреждения для такого рода сбоев, если я не могу автоматически справиться с ситуацией и мне нужно вручную заблокировать IP-адрес с помощью ufw?

  3. Есть ли реальный вред в том, чтобы позволить этим птицам какашкам волей-неволей проникнуть в мою систему? Стоит ли мне беспокоиться об этом?

Безопасность и брандмауэр ConfigServer (CSF + LFD) отлично справляется со своей работой.

Он поставляется с демоном сбоя входа в систему (lfd), который действует как анализатор журнала в квазиреальном времени. Что он делает, так это генерирует правило на лету, чтобы заблокировать оскорбительный IP-адрес в вашем брандмауэре (iptables) после заранее определенного количества неудачных попыток, а также может отправлять предупреждение по электронной почте. Типичный сервер, доступный в Интернете, будет ежедневно проверяться сотнями, тысячами злоумышленников. Итак, ожидайте получения большого количества уведомлений.

Обратите внимание, что блокировка не является постоянной, IP-адрес будет разблокирован через некоторое время.

LFD «из коробки» охватывает наиболее распространенные службы, такие как SSH, SMTP, POP и т. Д., Но при необходимости вы можете добавлять собственные правила (может потребоваться некоторое понимание регулярных выражений, поскольку LFD выполняет анализ журналов).

Даже если ваш сервер хорошо защищен, он не должен допускать такого удара - это все равно много потраченных впустую ресурсов. Лучше сразу их заблокировать.

Что касается точки 1 Для систем на основе Debian вы можете использовать fail2ban. Вы можете установить его с помощью sudo apt install fail2ban (или запускать его от имени пользователя root, если у вас нет sudo прав.)

Если вы используете ограниченную виртуальную машину, вы можете попробовать denyhosts

Чтобы установить это, вам необходимо sudo apt install denyhosts

Оба делают то же самое, не позволяя злоумышленникам взломать ваш сервер, однако fail2ban имеет возможность проверять определенный период времени, чтобы предотвратить повторную проверку вашего сервера тем же IP

Для точки 2 Вы можете настроить Action на fail2ban и denyhosts, чтобы получать уведомления о выполненных действиях.

А что касается пункта 3

Если они получат доступ, они либо сделают это устройство отправителем зомби, либо отправителем спама, либо обоими, поэтому не используйте общий пароль. Мои серверы также ежедневно проверяются со случайных IP-адресов.