Security
如何打擊/防止重複未經授權的嘗試登錄我的 postfix 伺服器?
我最近設置了我的第一個 postfix 伺服器並且熱愛生活。:)
但是,今天我登錄伺服器調試一些連接問題,這些問題最終出現在我的終端上,並在郵件日誌中註意到有一個 IP 一直在敲擊 SASL 登錄,並且顯然失敗了。我用ufw禁止了IP,但這不是一個非常有效的解決方案。我想知道的是為什麼預設情況下允許這種行為,以及我可以做些什麼來減輕這些類型的攻擊。
- 為什麼這個IP被允許多次認證失敗,而不是被列入黑名單?我要改變什麼來實現這一點?
- 如果我不能自動處理這種情況,並且需要使用 ufw 手動阻止 IP,有什麼方法可以設置這種故障模式的通知或警報?
- 讓這些便便鳥隨意闖入我的系統有什麼真正的危害嗎?我應該擔心這個嗎?
關於第1點 對於基於 Debian 的系統,您可以使用
fail2ban
. 您可以使用sudo apt install fail2ban
(或在您沒有sudo
權限時以 root 使用者身份執行它。)如果您執行的是有限的虛擬機,您可以嘗試
denyhosts
要安裝它,您必須
sudo apt install denyhosts
兩者都做同樣的事情,防止入侵者暴力破解您的伺服器,但是
fail2ban
能夠檢查一段時間以防止相同的 IP 再次檢查您的伺服器對於第2點, 您可以在 fail2ban 和拒絕主機上設置操作以獲取有關已執行操作的通知。
關於第3點
如果他們獲得訪問權限,他們要麼將此設備設為殭屍或垃圾郵件發件人或兩者兼而有之,因此不要使用通用密碼。我的伺服器也每天從隨機 IP 中檢查。