Настройка Fail2Ban для защиты Postfix от атак на аутентификацию SASL в Debian 12
Рассмотрим как настроить Fail2Ban для защиты Postfix от попыток подбора паролей при аутентификации через SASL в Debian 12.
Когда проверка подлинности SASL завершается неудачей в лог записываются записи вида:
...
Oct 20 08:00:42 mail postfix/smtps/smtpd[23234]: warning: unknown[5.34.207.172]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Oct 20 08:00:42 mail postfix/smtps/smtpd[23234]: lost connection after AUTH from unknown[5.34.207.172]
...
Установка Fail2Ban
Прежде чем начать, убедитесь, что fail2ban установлен на сервере:
apt update && apt install fail2ban -y
Настройка Fail2Ban
Создаем фильтр /etc/fail2ban/filter.d/postfix-sasl.conf
и добавляем в него следующий фильтр для определения неудачных попыток входа:
cat << EOF > /etc/fail2ban/filter.d/postfix-sasl.conf
[INCLUDES]
before = common.conf
[Definition]
_daemon = postfix(-\w+)?/\w+(?:/smtp[ds])?
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
ignoreregex =
EOF
В файле /etc/fail2ban/jail.local
добавьте следующие настройки:
[DEFAULT]
backend = systemd
[postfix-sasl]
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]
filter = postfix-sasl
journalmatch = _SYSTEMD_UNIT=postfix.service
maxretry = 3
findtime = 10m
bantime = 86400
Уведомления на EMAIL
Если необходимо отправлять уведомления о блокировках на email, то нужно в action добавить:
[DEFAULT]
destemail = alerts@your-domain.com
sender = fail2ban@your-domain.com
[postfix-sasl]
...
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]
sendmail-whois
...
Применение правил
Для применения правила, перечитываем конфигурационный файл fail2ban:
/etc/init.d/fail2ban reload
Проверка работы правила
Для проверки что правило работает, можно запустить проверку работы правила, командой:
fail2ban-regex --print-all-match systemd-journal /etc/fail2ban/filter.d/postfix-sasl.conf
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
Обсуждение
Нет комментариев.