Security

如何打擊/防止重複未經授權的嘗試登錄我的 postfix 伺服器?

  • August 6, 2019

我最近設置了我的第一個 postfix 伺服器並且熱愛生活。:)

但是,今天我登錄伺服器調試一些連接問題,這些問題最終出現在我的終端上,並在郵件日誌中註意到有一個 IP 一直在敲擊 SASL 登錄,並且顯然失敗了。我用ufw禁止了IP,但這不是一個非常有效的解決方案。我想知道的是為什麼預設情況下允許這種行為,以及我可以做些什麼來減輕這些類型的攻擊。

  1. 為什麼這個IP被允許多次認證失敗,而不是被列入黑名單?我要改變什麼來實現這一點?
  2. 如果我不能自動處理這種情況,並且需要使用 ufw 手動阻止 IP,有什麼方法可以設置這種故障模式的通知或警報?
  3. 讓這些便便鳥隨意闖入我的系統有什麼真正的危害嗎?我應該擔心這個嗎?

關於第1點 對於基於 Debian 的系統,您可以使用fail2ban. 您可以使用sudo apt install fail2ban(或在您沒有sudo權限時以 root 使用者身份執行它。)

如果您執行的是有限的虛擬機,您可以嘗試denyhosts

要安裝它,您必須sudo apt install denyhosts

兩者都做同樣的事情,防止入侵者暴力破解您的伺服器,但是fail2ban能夠檢查一段時間以防止相同的 IP 再次檢查您的伺服器

對於第2點, 您可以在 fail2ban 和拒絕主機上設置操作以獲取有關已執行操作的通知。

關於第3點

如果他們獲得訪問權限,他們要麼將此設備設為殭屍或垃圾郵件發件人或兩者兼而有之,因此不要使用通用密碼。我的伺服器也每天從隨機 IP 中檢查。

引用自:https://serverfault.com/questions/975121