[筆記] 用 denyhosts 來阻擋 Dovecot 暴力測試帳號密碼

OS:FC13

Dovecot: 1.2.16

logfile: /var/log/secure

修改 denyhosts.conf

將 #USERDEF_FAILED_ENTRY_REGEX= 前面的 # 拿掉

改為 > USERDEF_FAILED_ENTRY_REGEX= pam.dovecot.(?:authentication failure).rhost=(?:::f{4,6}:)?(?P<host>\S) 理論上應該就可以了..

不過不知道為啥，雖然語法比對有抓到IP，但是不會加入 hosts.deny

最後實在是找不出原因，也不曉得該去哪裡問，改用 fail2ban 來處理了

修改 /etc/fail2ban/jail.conf，加入底下這段 > [dovecot-c] > > enabled = true > > filter = dovecot-check > > backend = polling > > action = iptables-multiport[name=dovecot-check, port=“pop3,pop3s,imap,imaps”, protocol=tcp] > > logpath = /var/log/secure > > ignoreip = 127.0.0.1 , 192.168.10.240 > > bantime  = 36000 > > findtime  = 60 > > maxretry = 3  

找一台機器來測試看看，/var/log/fail2ban.log 有出現這樣的訊息 > fail2ban.actions: WARNING [dovecot-c] Ban 192.168.40.233 然後測試的Client 的 Outlook 也沒有辦法再收發信件，連密碼錯誤的訊息都不會跳出，這樣應該是成功了