¿Cómo debería ser el resultado de fail2ban postfix-sasl?

2

Quiero asegurarme de que fail2ban esté prohibiendo correctamente los intentos fallidos de inicio de sesión de SASL postfix.

Cuando hago iptables -L puedo ver la lista de hosts prohibidos para SSHD, pero no puedo encontrar una manera de ver hosts prohibidos para SASL.

SASL postfix está habilitado, lo cual puedo confirmar con:

fail2ban-client status
Status
|- Number of jail:  4
'- Jail list:   dovecot, postfix, postfix-sasl, sshd

Y puedo confirmar que hay intentos fallidos de inicio de sesión, desde mail.log, por ejemplo:

Aug 31 22:23:49 host2 postfix/smtpd[35397]: warning: hostname systemip3.example.com does not resolve to address 91.200.12.100
Aug 31 22:23:49 host2 postfix/smtpd[35397]: connect from unknown[91.200.12.100]
Aug 31 22:23:52 host2 postfix/smtpd[35397]: warning: unknown[91.200.12.100]: SASL LOGIN authentication failed: authentication failure
Aug 31 22:23:52 host2 postfix/smtpd[35397]: lost connection after AUTH from unknown[91.200.12.100]
Aug 31 22:23:52 host2 postfix/smtpd[35397]: disconnect from unknown[91.200.12.100] ehlo=1 auth=0/1 commands=1/2
    
pregunta Aleksandar Pavić 31.08.2017 - 22:41
fuente

1 respuesta

1

Parece que he encontrado respuesta a mi propia pregunta, aparentemente fail2ban-client status dirá que el servicio está habilitado, incluso si no hay una regla de filtro para esa prohibición en particular.

La solución fue crear postfix-sasl.conf en /etc/fail2ban/filter.d/postfix-sasl.conf Con los siguientes contenidos:

# Fail2Ban filter for postfix authentication failures
#

[INCLUDES]

before = common.conf

[Definition]

_daemon = postfix/smtpd

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

# Author: Yaroslav Halchenko

y vuelve a cargar la configuración con

fail2ban-client reload

Luego, después de un tiempo, iptables -L confirma que está funcionando y está prohibiendo las IPs

Chain f2b-postfix-sasl (1 references)
target     prot opt source               destination         
REJECT     all  --  systemip8.example.com  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  systemip8.example.com  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  12.215.34.226        anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere        
    
respondido por el Aleksandar Pavić 31.08.2017 - 22:51
fuente

Lea otras preguntas en las etiquetas