Escrevendo regras REGEX adicionais para o Fail2Ban

Visualizando 1 post (de 1 do total)
  • Autor
    Posts
  • #11116
    Luis FatorBinario
    Administrador

    No tutorial sobre Firewall configuramos o Fail2Ban para banir tentativas hackers em vários serviços, incluindo o Servidor de Emails. Adicionamos um bloco para o Postfix detectar ataques, que nem sempre são reconhecidos com a configuração padrão, vamos melhorar essa detecção.

    Edite o arquivo /etc/fail2ban/filter.d/postfix.conf e substitua o bloco de cósdigo “failregex” por este abaixo:

    failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
         ^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
         ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 454 4\.7\.1 :*$
         reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1
         reject: RCPT from (.*)\[<HOST>\]: 450 4.7.1
         reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1
         reject: RCPT from unknown\[<HOST>\]: 454 4.7.1
         warning: Illegal address syntax from unknown\[<HOST>\]
         warning: non-SMTP command from unknown\[<HOST>\]:
         connect from unknown\[<HOST>\]

     

    Em seguida verifique se as novas regras coletam ataques em seu servidor com o comando:

    > fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf

     

    E se estiver tudo certo reinicie o Fail2Ban:

    > /etc/init.d/fail2ban restart

     

Visualizando 1 post (de 1 do total)
  • Você deve fazer login para responder a este tópico.

©2014-2024 Fator Binário - Todos os direitos reservados

Fazer login com suas credenciais

Esqueceu sua senha?