Перебирают логины и пасы на серваке

[Cancer]

Доброго времени суток!

Стоит Exim+Dovecot+Mysql
не подскажете кто нить делал так что бы если например 10 раз ошибка авторизации Dovecot делал паузу на минут 30 минут.

Если это возможно отпишитесь пожалуйста. Да и если можно тоже самое для Exim ' a.

лог километровый, хорошо что сделал отчеты парсинг maillog что бы приходил на ящик.

Код: Выделить всё

Feb 12 20:43:53 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:54 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:54 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:54 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:55 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:55 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:56:39 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:41 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:44 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:47 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:50 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:52 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44

Как правило единственное что я сделал прикрыл IP фаером.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ProFTP]

скрипт смотрит логи, банит в ipfw айпишники которые перебирают, второй скрипт (или первый) через 30мин удалеяет забаненные айпишники из списока

[zingel]

Код: Выделить всё

login_process_per_connection = yes
login_processes_count = 2
login_max_processes_count = 10
login_max_connections = 20
...
auth_cache_size = 10485760
auth_cache_ttl = 3600
auth_worker_max_count = 10
#auth_worker_max_request_count = 30

но таймауты он не умеет вроде бы

[Cancer]

Код: Выделить всё

login_process_per_connection = yes
login_processes_count = 2
login_max_processes_count = 10
login_max_connections = 20
...
auth_cache_size = 10485760
auth_cache_ttl = 3600
auth_worker_max_count = 10
#auth_worker_max_request_count = 30

но таймауты он не умеет вроде бы

так а что после 10 неудачных коннектов произойдет ?

[zingel]

пошлёт в попу, вероятно

[Cancer]

пошлёт в попу, вероятно

так а потом что будет , думаю не закроет его на всегда ?

[zingel]

нужно смотреть в вики довекота

[Grishun_U_S]

сделай средствами pf max-src-conn-rate

[paix]

pf conn-rate в топку. Если запросы с шлюза, зачем честных юзеров блокировать?

решение простое -
bruteblock (freebsd)
fail2ban (linux)

демон парсит логи по заданному критерию и добавляет айпишник в фаер.

[Cancer]

pf conn-rate в топку. Если запросы с шлюза, зачем честных юзеров блокировать?

решение простое -
bruteblock (freebsd)
fail2ban (linux)

демон парсит логи по заданному критерию и добавляет айпишник в фаер.

Я так понял bruteblock работает токо под ipfw, а нету аналога под pf

[Grishun_U_S]

pf conn-rate в топку.

ой ли?

Если запросы с шлюза, зачем честных юзеров блокировать?

ну подбери значение, которое не будет блокировать шлюзы.

[paix]

pf conn-rate в топку.

ой ли?

Если запросы с шлюза, зачем честных юзеров блокировать?

ну подбери значение, которое не будет блокировать шлюзы.

я устал от этого цирка. Особенно когда брутфорсеры постоянно приспосабливаются, типа 2 попытки каждые 1-5 минут...
Стараюсь внедрять решения, которые будут самодостаточны, без необходимости потом тратить на них время. Врочем это ваше дело, следовать моему совету, или наступать на собственные грабли.

[Grishun_U_S]

я устал от этого цирка. Особенно когда брутфорсеры постоянно приспосабливаются, типа 2 попытки каждые 1-5 минут...

и сколько миллиардов лет с такой скоростью будет перебираться хотя бы 8 значный пароль?

Стараюсь внедрять решения, которые будут самодостаточны, без необходимости потом тратить на них время. Врочем это ваше дело, следовать моему совету, или наступать на собственные грабли.

свои грабли лучше (=

[paix]

ssh вообще лучше закрывать.

Вероятность же того, что забанит валидного юзера в случае с ftp\pop\imap достаточно высока в случае с conn-rate.

[Grishun_U_S]

ssh вообще лучше закрывать.

Вероятность же того, что забанит валидного юзера в случае с ftp\pop\imap достаточно высока в случае с conn-rate.

У меня SSH открыт для всего мира на нескольких серверах, причем висит на стандартном 22 порте.
Есть жесткий conn-rate (1/60) и постоянно висящие в таблице с пяток-десяток брутефорсеров, вот например :

Код: Выделить всё

mail# pfctl -t BRUTEFORCERS -T show
   80.90.80.123
   85.17.139.163
   196.200.142.11
   202.4.105.35
   207.182.137.44

и скажу по секрету, что пароль им не подобрать вообще никогда даже без conn-rate, т.к. настроена авторизация по ключам.

Вероятность бана валидного юзера со значениями, например 5/20 (5 коннектов за 20 секунд) для ИМАП/ПОП если только у Вас не сервер уровня mail.ru/yandex.ru/rambler.ru очень маленькая.

[paix]

вы не сталкивались с ситуациями когда много пользователей сидят за шлюзом.

И еще одно, вероятность того что у вас уведут пароль намного выше, чем та что его подберут. (в случае с использованием винды эти риски очень и очень обоснованы.)

ЗЫ. делай как хочеш, мне все равно.

[Grishun_U_S]

вы не сталкивались с ситуациями когда много пользователей сидят за шлюзом.

Не сталкивался и никак не могу понять откуда им взяться когда корпоративный сервер работает в обычном режиме (доставляет почту внутрь корпоративной сети и из нее). Да, могут быть пользователи из дома, но их во-первых мало, а уж вероятность того что они еще и с одного адреса пишут вообще никакая.

И еще одно, вероятность того что у вас уведут пароль намного выше, чем та что его подберут. (в случае с использованием винды эти риски очень и очень обоснованы.)

ЗЫ. делай как хочеш, мне все равно.

Вот только не надо обижаться, потому что я спорю не ради того чтобы поспорить, а истины для.

[paix]

у меня правило не обижаться - не выгодно это
истины для я тоже не спорю ).

по твоему такая проблема может возникать только на корпоративном сервере? других больше не существует?
сам будеш заявки от юзеров принимать, отвечать, время тратить "извините мол, забанило вас... а сообщите ваш айпишник?" (тут следуют 15 минут переписки как раздуплить пользователя чтобы он определил айпишник шлюза).

я это проходил. Поэтому и не советую.

На счет блокировки тоже был забавный случай....
был себе варезный портал в крупном городе, и ходило на него не одна тысяча (и десяток) человек....потом бац и перестали ходить.... ну я думаю как обычно, локальные провайдеры заблокировали....(трафик с портала поди в районе 90мбит)
через несколько дней, кучи потраченного времени и нервов, выяснилось что никакой провайдер нас не блокировал. Какаято падла из городской сети решила просто ссш побрутфорсить ) естественно айпишник городского гейта и забанило (через который большая часть юзеров и ходила...)....

мораль сей басни такова:
если какое-то техническое решение отбирает (прямо или косвенно) у вас время - выкиньте его. Жизнь себе надо упрощать а не усложнять....как жаль что это поздно доходит.