Estou ficando forçado, o que eu faço

Question

Estou ficando forçado, o que eu faço

#1 resposta do (5 votos)
#2 resposta do (4 votos)
#3 resposta do (2 votos)

2

Estou sendo forçado a usar meu servidor de e-mail, IMAP e POP3. Eu tenho o pacote completo do ASL instalado, mas ele apenas me envia os logs do OSSEC. Como posso proibir o IP?

Eu pensei que o ASL bloqueasse automaticamente esses ataques depois de algumas tentativas erradas. Como posso fazer isso?

security linux brute-force-attacks

por Saif Bechan 12.04.2010 / 00:00

3 respostas

5

o fail2ban fará o truque.

link

divirta-se.

por 12.04.2010 / 01:07

2

Você precisa ativar a resposta ativa no OSSEC para que ele funcione. Verifique no seu ossec.conf para ver se ele está habilitado.

O problema com a solução iptables é que ela não possui conhecimento sobre aplicativos, portanto, um login bem-sucedido ainda pode ser bloqueado.

por 12.04.2010 / 15:59

Tags security linux brute-force-attacks

posso remover o debian apt cache dir Versão padrão do Perl

score 4 · Accepted Answer

Se o seu kernel tem suporte para o iptables recent (a maioria faz), algo como o seguinte permitirá 6 conexões em 60 segundos, e depois soltar as conexões daquele endereço IP. Em vez de escrever uma tonelada de regras para bloquear vários IPs, você pode fazer isso.

iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP

como alternativa, se fosse apenas um IP:

iptables -I INPUT -s 1.2.3.4/32 -j DROP

deve fazer uma queda rápida e suja desse IP