Недавно обнаружил, что на двух почтовых серверах Kerio Connect в логах Security присутствуют многочисленные попытки подбора паролей.  Сервера работают по Ubuntu, так почему бы не прикрутить fail2ban. Как оказалось, все довольно просто, fail2ban умеет работать с логами Kerio.

nano /etc/fail2ban/jail.conf
[kerio]
enabled = true
filter = kerio
port = imap,smtp,imaps,465,587
logpath = /opt/kerio/mailserver/store/logs/security.log
bantime = 14400
findtime = 20m
maxretry = 5
protocol = tcp

В результате, если кто-то  в течении 20 минут (findtime = 20m) вводит неверный пароль 5 раз (maxretry = 5), он получает бан на 4 часа (bantime = 14400).

Если видите, что атака идет из какого-то странного места (Иран, например), заблокируйте всю подсеть в iptables и спите спокойно.

iptables -t filter -A INPUT -s 45.142.120.0/24 -j DROP
Настройка fail2ban для Kerio Connect
Метки:    

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *