Я получаю грубое принуждение к моему почтовому серверу, IMAP и POP3. У меня установлен полный пакет ASL, но он просто отправляет мне журналы OSSEC. Как мне забанить IP.
Я думал, что ASL автоматически заблокировал эти атаки после нескольких неудачных попыток. Как мне это сделать.
Если ваше ядро поддерживает iptables latest (большинство из них поддерживают), что-то вроде следующего разрешит 6 подключений за 60 секунд, а затем сбросит подключения с этого IP-адреса. Вместо того, чтобы писать массу правил для блокировки разных IP-адресов, вы могли бы это сделать.
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
в качестве альтернативы, если это был только один IP:
iptables -I INPUT -s 1.2.3.4/32 -j DROP
должен сделать быстрое и грязное удаление этого IP
Вы должны включить активный ответ в OSSEC, чтобы он работал. Проверьте свой ossec.conf, чтобы увидеть, включен ли он там.
Проблема с решением iptables заключается в том, что у него нет сведений о приложении, поэтому успешный вход в систему все равно может быть заблокирован.