保護 postfix 免受暴力攻擊
前幾天我在Debian/Wheezy下搭建了一個VPS,包括使用postfix + procmail的個人SMTP服務。
我已經看到很多對 SMTP 和其他埠的攻擊。這是一段摘錄:
7月31日 09:06:25
$$ myserver $$後綴/smtpd$$ 15372 $$: 警告:mail.thethirdroom.org$$ 81.137.228.117 $$: SASL LOGIN 認證失敗: 認證失敗 Jul 31 10:00:02$$ myserver $$後綴/smtpd$$ 20616 $$:警告:host245-192-static.36-88-b.business.telecomitalia.it$$ 88.36.192.245 $$: SASL LOGIN 認證失敗: 認證失敗
每秒有多次登錄嘗試。現在,我正在執行 sshguard 以防止人們在那裡進行暴力破解(除非它是分佈式嘗試),但是由於 sshguard 不支持,postfix 仍然有點脆弱。
誰能提示我如何使這件事更安全?
非常感謝!
TL;DR: SMTP 伺服器受到重創,想在 n 次錯誤嘗試後禁止 IP。
查看此工具Fail2Ban,它會掃描日誌文件中的惡意活動並觸發事件。有瓶裝事件處理程序,例如創建防火牆以拒絕有問題的 IP,或者您可以製作自己的自定義事件處理程序。
如果你對修補和重新編譯 sshguard 沒問題,我已經寫了一個更新檔來添加 Postfix SASL 檢測。你可以在這裡得到它:
http://www.djs.to/2013/10/1-postfix-sasl-support-for-sshguard/
這個更新檔很簡單——它擴展了 sshguard 的日誌文件解析器來檢測你描述的格式的 SASL 失敗消息。因此,失敗的 SASL 登錄將導致 IP 地址被禁止,就像 sshguard 擷取的所有其他內容一樣。