Intanto una buona giornata di sole a tutti. Nel mentre sto' imprecando col solito furto di credenziali di posta su uno dei tanti server con cui ho a che fare, stavo ragionando su come limitare l'uso non autorizzato di credenziali. Teniamo presente che la media intellettiva degli utenti che usa posta elettronica - fatti salvi i pinguini, anche se non sempre - e' piuttosto bassina, quindi le tante raccomandazioni fatte su come usare le credenziali di posta, quando cambiarle, come proteggere le stesse da uso fraudolento hanno un successo bassino e di tanto in tanto mi ritrovo con gente le cui credenziali vengono usate per tutto e da tutti tranne che dai legittimi proprietari. fino ad ora fail2ban e' stato un grandissimo amico e attivita' curiose da ip curiosi hanno sempre mietuto un sacco di successo. Ora pensavo a qualcosa di piu' raffinato rispetto a f2b che di base legge un file di log, ne estrae un ip e in base alle indicazioni lo comunica, lo mette in iptables e via disquisendo. Esiste qualcosa di un po' piu' raffinato, che vada oltre l'estrazione di un indirizzo ip, ma in base alle indicazioni, tiri fuori (p.es) il record di autenticazione_SASL di postfix e lo comunichi per ulteriori azioni piu' mirate? altrimenti vado di pitone... faccio un esempio: server di posta: il traffico medio di un account puo' essere misurato in un valore statistico superato il quale scatta la mannaia. in caso di aumento eccessivo di traffico da un account, l'applicazione esegue - che so' - un plugin che blocca l'account( un bello scriptino python che si interfaccia al db e disabilita' giusto l'indirizzo email del malcapitato) , non semplicemente l'ip di provenienza (che ne caso di botnet sarebbero un casino di ip - certe volte fail2ban quando ci sono troppi tentativi di login provenienti da botnet mi banna mezzo pianeta. mauro mauro@majaglug.net
Attachment:
signature.asc
Description: Message signed with OpenPGP using GPGMail