由于大量无效的 smtp saslauthd 登录,我的 linux sendmail 服务器被迫停止运行。
消息中不断记录 saslauthd 的 PAM 身份验证错误。
我反复寻找确定 IP 的方法,以便可以阻止它……但无济于事。
消息或安全日志中未记录 IP。
任何建议都将不胜感激。
答案1
这可能会有帮助:使用 Fail2Ban 阻止 SMTP 身份验证暴力攻击
答案2
您必须将 LogLevel 增加到 10 或更高。查看 sendmail.mc 或输入类似 define( confLOG_LEVEL',10')dnl 的内容
这将记录身份验证失败时的 IP 号码。
答案3
我发现 /var/log/mail.log 中有相应的日志条目,其中包含攻击者的 IP 地址,因此可以使用 fail2ban 进行阻止(至少在 Ubuntu 14.04 上)。尝试搜索“SASL LOGIN 身份验证失败”。
答案4
这有点晚了,但我相当确定 saslauthd 不会记录 IP 地址,因为 saslauthd 库及其实现中存在一些限制。
然而,据我所知,Sendmail 确实会记录 IP,您可以通过为 Sendmail 编写规则来将 fail2ban 指向该 IP,而不是使用提供的 saslauthd jail。