[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Servidor de correo (postfix) y spam

El Mon, 23 de Feb de 2015, a las 02:39:36PM +0000, Camaleón dijo:

> >> Correcto. Cambia la contraseña del usuario "pablo" y se acabará el
> >> goteo.
> > 
> > Ahora mismo está desabilitado.
                     ^^^^^^^^^^^^
¡¡Madre mía! Leo, releo y no me creo que haya podido escribir esto:
deshabilitado, deshabilitado, deshabilitado...

> Un poco radical peor bueno, eso ya es competencia del administrador.

Es que, además de la fuerza bruta, la otra posibilidad es que el usuario
esté usando un filezilla troyanizado.

>> El usuario es el mismo: tanto el servidor FTP como el servidor de
>> correos se autentican con PAM. En realidad, no hay muchos usuarios, así
>> que no monté ningún servicio LDAP o SAMBA para usuarios.
> 
> Eso es un error tremendo, más aún tratándose de un sistema como el FTP 
> que usa contraseñas en claro. Hay que separar siempre las cuentas y los 
> servicios aunque resulte pesado tanto para el admin como para el usuario 
> y también hay que forzar una política de gestión de contraseñas 
> medianamente seguras.

Sí, ya estoy escarmentando en servidor propio.

>> Lo que he pensado es crear un /etc/pam.d/smtp (¿o es /etc/pam.d/smtpd?)
>> que restrinja los usuarios que se pueden autenticar en el servidor de
>> correo.
 
> Suelo usar PAM sólo para cuentas locales del sistema, pero quizá en este 
> caso te resultaría más práctico gestionar los usuarios ftp con otro 
> sistema de gestión de usuarios que sea sencillo (p. ej., vsftp usa 
> archivos de texto plano para generar su bdd).

¿vsftp tiene usuarios virtuales? Creo recordar que usa PAM y ya está.
Otra cosa es que personalices /etc/pam.d/vsftpd y uses algún módulo de
pam para modificar la validación "predeterminada". De hecho, en debian
la autenticación de vsftp viene "tuneá" de serie. Por eso los usuarios
listados en /etc/ftpusers no tienen acceso al ftp.

Hay varios módulos que pueden servir para eso: pam_pwdfile, pam_fshadow,
pam_userdb. O los correspondientes a samba y ldap, claro.

Tengo previsto comenzar a montar un nuevo servidor sobre jessie a partir
de mayo/junio. Tendré que pensarme bien cómo montar todo esto de los
servidores. Posiblemente pida consejo en la lista al respecto.

> > En principio denyhost sólo analiza accesos al SSH, pero se pueden
> > cambiar las expresiones regulares para que analice accesos de otros
> > servidores. Lo hice en su momento con FTP, pero no con SASL, que es lo
> > que uso para autenticar en postfix.
> 
> Fail2ban le iría mejor, creo yo, ya que tiene las plantillas de los 
> servicios más comunes definidas (pop/imap/smtp...).

Sí, he visto que es mucho más configurable. Y sobre todo, tiene la
ventaja de que se puede configurar el fichero de log que se inspecciona.
En denyhosts sólo se puede indicar uno, así que aparte de tener que
romperme los cuernos con la expresión regular, he tenido que modificar
rsyslog para que me guardara el aviso en /var/log/auth.log.

La verdad es que cuando me planteé esto, no mire mucho ambas soluciones
y me decanté por denyhosts, porque fail2ban usa el cortafuegos para
vetar el acceso y yo tengo un complejo juego de reglas en iptables para
hacer las más variopintas perrerías en las redes que atraviesan el
servidor. Así que preferí no enmarañarlo más. Quizás es limpito y se
crea una cadena aparte para meter sus reglas o usa ipset para apuntar
las ips. Debería volver a mirármelo, cuando monté el nuevo servidor.
Ahora ando parcheando. :/

> Saludos,

Un saludo.

-- 
   Flérida para mí dulce y sabrosa,
más que la fruta de cercado ajeno.
                  --- Garcilaso de la Vega ---
Reply to: