Re: Tentatives de login avec dovecot
Le 4 nov. 2015 à 12:56, andre_debian@numericable.fr a écrit :
> On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote:
>>> Je constate des centaines de tentatives d'authentification
>>> sur mon serveur pop dovecot :
>>> ============
>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>>> ruser=hollie rhost=173.9.136.221 : 6 Time(s)"
>>> ============
>>> avec à chaque fois un "ruser" différent.
>>> Comment empêcher ces tentatives ?
>
>> Sur mon serveur de messagerie, j'utilise fail2ban. Après installation,
>> tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi
>> augmenté le temps de bannissement par défaut (de 10 minutes à 10
>> heures). Pour cela, j'ai simplement créé un fichier
>> /etc/fail2ban/jail.local contenant :
>> ---------------------------
>> [DEFAULT]
>> bantime = 36000
>> [dovecot]
>> enabled = true
>> ---------------------------
>> A+ Jean-Jacques
>
> Grand merci, j'ai fait ce que tu préconises.
> Je verrai si ces login ont moindri, voire disparu ?
Ils ne disparaîtront pas, mais ils seront droppés après les X tentatives infructueuses
que tu auras définies dans jail.local (# cp jail.conf jail.local si besoin).
Au début du fichier, tu as toutes les définitions générales :
=================================================================
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8 XXX.XXXX.XX/13 XX.XXX.XXX
findtime = 1127
bantime = 600
maxretry = 3 # nombre de tentatives autorisées par défaut ;-)
=================================================================
Tu peux te faire envoyer des rapports de ban :
=================================================================
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
# destemail = root@localhost
destemail = monadresse@example.com
#
# ACTIONS
#
=================================================================
Continuer la suite pour affiner les configues de rapport…
Après, tu as des prisons spécifiques à chaque délit :
=================================================================
[default-forbidden]
enabled = false # jail désactivée
filter = nginx-forbidden # selon un filtre spécifique ou pas
port = http
banaction = iptables-xt_recent-echo # et une action spécifique ou pas
logpath = /var/log/nginx/error.log # le fichier de log à analyser
bantime = 2419200 # ah, mais moi je veux les bannir pour au moins 1 mois !
=================================================================
Après, tu as plein de trucs pour repérer les chieurs sur les mails :
=================================================================
[postfix]
# enabled = false
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
bantime = 2419200
[couriersmtp]
# enabled = false
enabled = true
port = smtp,ssmtp
filter = couriersmtp
logpath = /var/log/mail.log
bantime = 2419200
#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#
[courierauth]
# enabled = false
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log
bantime = 2419200
[sasl]
enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = /var/log/mail.log
[dovecot]
enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/mail.log
=================================================================
Pareil, tu configures plus ou moins spécifiquement avec des filtres et des actions
perso selon tes besoins…
Je t'enverrai un rapport de ban sur ton adresse personnelle pour que tu voies à quoi
ça ressemble ;-)
>
> "/etc/fail2ban/" contient aussi "jail.conf" :
> y a t-il ici une configuration à faire ?
>
>> Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur
>> dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des
>> tentatives d'accès :
>
> On le fait via "/etc/dovecot/dovecot.conf" ?
>
> @+
>
> André
>
>
>
Reply to: