几天前我已经设置了一个VPS,包括在Debian / Wheezy下使用postfix + procmail的个人SMTP服务。
我已经看到大量针对 SMTP 和其他端口的攻击。这是摘录:
7月31日09:06:25 [myserver] postfix/smtpd[15372]:警告:mail.thethirdroom.org[81.137.228.117]:SASL LOGIN身份验证失败:身份验证失败7月31日10:00:02 [myserver] postfix/smtpd [20616]:警告:host245-192-static.36-88-b.business.telecomitalia.it[88.36.192.245]:SASL LOGIN 身份验证失败:身份验证失败
每秒有多次登录尝试。现在,我正在运行 sshguard 以防止人们在那里进行暴力破解(除非它是分布式尝试),但 postfix 仍然很容易受到攻击,因为 sshguard 不支持这一点。
谁能告诉我如何让这个东西更安全?
多谢!
TL;DR:SMTP 服务器受到重击,在 n 次错误尝试后想要禁止 IP。
答案1
看看这个工具失败2Ban,它扫描日志文件中是否存在恶意活动并触发事件。有瓶装事件处理程序,例如创建防火墙来拒绝违规 IP,或者您可以创建自己的自定义事件处理程序。
答案2
如果您可以修补并重新编译 sshguard,我已经编写了一个补丁来添加 Postfix SASL 检测。你可以在这里得到它:
http://www.djs.to/2013/10/1-postfix-sasl-support-for-sshguard/
这个补丁非常简单 - 它扩展了 sshguard 的日志文件解析器来检测您描述的格式的 SASL 失败消息。因此,失败的 SASL 登录将导致 IP 地址禁止,就像 sshguard 捕获的其他所有内容一样。