며칠 전에 Debian/Wheezy에서 postfix + procmail을 사용하는 개인 SMTP 서비스를 포함하여 VPS를 설정했습니다.
나는 SMTP와 다른 포트에 대한 많은 공격을 보아왔습니다. 다음은 발췌 내용입니다:
7월 31일 09:06:25 [myserver] postfix/smtpd[15372]: 경고: mail.thethirdroom.org[81.137.228.117]: SASL 로그인 인증 실패: 인증 실패 7월 31일 10:00:02 [myserver] postfix/smtpd [20616]: 경고: host245-192-static.36-88-b.business.telecomitalia.it[88.36.192.245]: SASL 로그인 인증 실패: 인증 실패
초당 여러 번의 로그인 시도가 있습니다. 지금은 사람들이 무차별 대입 공격을 하는 것을 방지하기 위해 sshguard를 실행하고 있지만(분산 시도가 아닌 한) postfix는 sshguard가 이를 지원하지 않기 때문에 여전히 취약합니다.
누구든지 이것을 더 안전하게 만드는 방법을 말해 줄 수 있습니까?
감사합니다!
핵심요약: SMTP 서버가 n번의 잘못된 시도 후에 공격을 받고 IP를 금지하려고 합니다.
답변1
이 도구를 확인해 보세요2Ban 실패, 로그 파일에서 악의적인 활동을 검사하고 이벤트를 트리거합니다. 문제가 되는 IP를 거부하기 위해 방화벽을 만드는 것과 같은 병든 이벤트 핸들러가 있거나 사용자 정의 이벤트 핸들러를 직접 만들 수 있습니다.
답변2
sshguard를 패치하고 다시 컴파일할 수 있다면 Postfix SASL 감지를 추가하는 패치를 작성했습니다. 여기에서 얻을 수 있습니다:
http://www.djs.to/2013/10/1-postfix-sasl-support-for-sshguard/
이 패치는 매우 간단합니다. sshguard의 로그 파일 파서를 확장하여 설명하는 형식의 SASL 실패 메시지를 감지합니다. 따라서 SASL 로그인에 실패하면 sshguard에서 캡처한 다른 모든 것과 마찬가지로 IP 주소가 금지됩니다.