Re: Tentatives de login avec dovecot

2015-11-10 Par sujet andre_debian 
Bonjour,

Depuis les additifs dans "/etc/fail2ban/",
ça s'améliore avec quasiment plus de connexions,
aujourd'hui, une seule et limitée à 2 :

dovecot: Invalid Users: Unknown Account: 2 Time(s)
Unknown Entries:
authentication failure; logname= uid=0 euid=0 tty=dovecot 
ruser=@ rhost=88.191.250.166 : 2 Time(s).

André

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Jean-Jacques Doti 

Le 04/11/2015 23:02, Philippe Gras a écrit :

Le 4 nov. 2015 à 20:27, andre_deb...@numericable.fr a écrit :


On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote:

Ils ne disparaîtront pas, mais ils seront droppés après les X
tentatives infructueuses
que tu auras définies dans jail.local
Au début du fichier, tu as toutes les définitions générales :

Onn peut préciser d'autres options, merci.

On peut modifier à peu près tous les éléments de configuration :-)

(# cp jail.conf jail.local si besoin).

Ce qui veut dire alors que : jail.conf = jail.local ?

Comme l'a expliqué précédemment Jean-Jacques, tu commences par copier
jail.conf en le nommant jail.local (# cp jail.conf jail.local), et ensuite tu 
fais tes
propres configurations dans jail.local.

Alors, au début les 2 fichiers sont évidemment identiques, mais rapidement le
fichier local est enrichi par rapport au fichier conf.

En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. 
Pour ma part, je ne mets dans jail.local que mes ajouts/modifications 
par rapport à jail.conf. Je ne réalise donc pas une copie préalable de 
jail.conf vers jail.local.
Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier 
post et rien d'autre (enfin, j'ai aussi quelques autres jails pour 
lesquels j'ai surchargé la conf mais sur le même principe).
L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de 
conf. Évidemment, ça peut aussi être un soucis si le mainteneur change 
une option qui me convenait mais l'important est d'en être conscient (et 
sur une debian stable, le risque est très limité).


A+
JJ

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Philippe Gras 

Le 5 nov. 2015 à 09:29, Jean-Jacques Doti  a écrit :

> Le 04/11/2015 23:02, Philippe Gras a écrit :
>> Le 4 nov. 2015 à 20:27, andre_deb...@numericable.fr a écrit :
>> 
>>> On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote:
 Ils ne disparaîtront pas, mais ils seront droppés après les X
 tentatives infructueuses
 que tu auras définies dans jail.local
 Au début du fichier, tu as toutes les définitions générales :
>>> Onn peut préciser d'autres options, merci.
>> On peut modifier à peu près tous les éléments de configuration :-)
 (# cp jail.conf jail.local si besoin).
>>> Ce qui veut dire alors que : jail.conf = jail.local ?
>> Comme l'a expliqué précédemment Jean-Jacques, tu commences par copier
>> jail.conf en le nommant jail.local (# cp jail.conf jail.local), et ensuite 
>> tu fais tes
>> propres configurations dans jail.local.
>> 
>> Alors, au début les 2 fichiers sont évidemment identiques, mais rapidement le
>> fichier local est enrichi par rapport au fichier conf.
>> 
> En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. Pour 
> ma part, je ne mets dans jail.local que mes ajouts/modifications par rapport 
> à jail.conf. Je ne réalise donc pas une copie préalable de jail.conf vers 
> jail.local.

Si le fichier jail.local existe à l'installation, il est l'exacte reproduction 
de jail.conf

Le cas échéant (je ne m'en souviens plus), inutile de copier ce dernier.

> Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier post 
> et rien d'autre (enfin, j'ai aussi quelques autres jails pour lesquels j'ai 
> surchargé la conf mais sur le même principe).

Chacun y met ce qui lui convient, c'est ça qui est chouette :-)

> L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de 
> conf. Évidemment, ça peut aussi être un soucis si le mainteneur change une 
> option qui me convenait mais l'important est d'en être conscient (et sur une 
> debian stable, le risque est très limité).

sic.
> 
> A+
> JJ
>

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Philippe Gras 

Le 5 nov. 2015 à 12:36, andre_deb...@numericable.fr a écrit :

> On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote:
>> En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. 
>> Pour ma part, je ne mets dans jail.local que mes ajouts/modifications 
>> par rapport à jail.conf. Je ne réalise donc pas une copie préalable de 
>> jail.conf vers jail.local.
>> Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier 
>> post et rien d'autre (enfin, j'ai aussi quelques autres jails pour 
>> lesquels j'ai surchargé la conf mais sur le même principe).
>> L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de 
>> conf. Évidemment, ça peut aussi être un soucis si le mainteneur change 
>> une option qui me convenait mais l'important est d'en être conscient (et 
>> sur une debian stable, le risque est très limité).
> 
> J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h  :
> ===
> authentication failure; logname= uid=0 euid=0 tty=dovecot 
> ruser=ad...@free.org 
> rhost=192.162.68.120 : 12 Time(s)
> authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=t...@free.org 
> rhost=192.162.68.120 : 11 Time(s)
> ... 
> ===
> 12 Times et 11 Times..., alors que maxretry  = 3.

Oui, c'est possible quand les requêtes sont simultanées.

Au fil du temps, ça va s'arranger pourvu que tu bannisse les IP assez longtemps.

Une autre condition est que le filtre soit adéquat. Par exemple, j'utilise 
NginX comme

serveur Web, et j'ai dû créer des filtres en conséquence.

Par ailleurs, certains de mes sites sont chez Cloudflare. Il faut attendre que 
le service

traite les données, donc ponctuellement il peut y avoir une inflation de 
vilaines requêtes.

>

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Philippe Gras 

Le 5 nov. 2015 à 13:09, Vincent Besse  a écrit :

> On Thu, 5 Nov 2015 12:36:03 +0100
> andre_deb...@numericable.fr wrote:
> 
>> [...]
>> 
>> J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h  :
>> ===
>> authentication failure; logname= uid=0 euid=0 tty=dovecot 
>> ruser=ad...@free.org 
>> rhost=192.162.68.120 : 12 Time(s)
>> authentication failure; logname= uid=0 euid=0 tty=dovecot 
>> ruser=t...@free.org 
>> rhost=192.162.68.120 : 11 Time(s)
>> ... 
>> ===
>> 12 Times et 11 Times..., alors que maxretry  = 3.
>> 
>> André
> 
> Avoir un fichier jail.local est une chose, encore faut-il que fail2ban
> sache reconnaître ces lignes et les traiter. Il faut donc avoir
> dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour
> qu' il ne soit pas lui non plus écrasé par une mise à jour) qui
> contienne une regex correspondant à ces logs et que dans la section
> [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de
> regarder le bon fichier de log.

Tu peux tester tes paramètres de configuration ainsi :
/usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log 
/etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local)

Par exemple ce que j'ai fait pour les tentatives de login sur le Web :
/usr/bin/fail2ban-regex /var/log/nginx/error.log 
/etc/fail2ban/filter.d/nginx-access.conf

Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en 
local

et ils sont restés tels quels après ma dernière mise à jour.

Mais je n'ai pas modifié de fichier de conf d'origine…

> Vu la gueule des messages ça doit
> provenir de /var/log/auth.log mais c' est à confirmer.

D'accord avec Vincent :-)
> 
Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez 
Gogol s'impose.
>

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet andre_debian 
On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote:
> En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. 
> Pour ma part, je ne mets dans jail.local que mes ajouts/modifications 
> par rapport à jail.conf. Je ne réalise donc pas une copie préalable de 
> jail.conf vers jail.local.
> Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier 
> post et rien d'autre (enfin, j'ai aussi quelques autres jails pour 
> lesquels j'ai surchargé la conf mais sur le même principe).
> L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de 
> conf. Évidemment, ça peut aussi être un soucis si le mainteneur change 
> une option qui me convenait mais l'important est d'en être conscient (et 
> sur une debian stable, le risque est très limité).

J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h  :
===
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=ad...@free.org 
rhost=192.162.68.120 : 12 Time(s)
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=t...@free.org 
rhost=192.162.68.120 : 11 Time(s)
... 
===
12 Times et 11 Times..., alors que maxretry  = 3.

André

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Vincent Besse 
On Thu, 5 Nov 2015 12:36:03 +0100
andre_deb...@numericable.fr wrote:

>[...]
> 
> J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h  :
> ===
> authentication failure; logname= uid=0 euid=0 tty=dovecot 
> ruser=ad...@free.org 
> rhost=192.162.68.120 : 12 Time(s)
> authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=t...@free.org 
> rhost=192.162.68.120 : 11 Time(s)
> ... 
> ===
> 12 Times et 11 Times..., alors que maxretry  = 3.
> 
> André

Avoir un fichier jail.local est une chose, encore faut-il que fail2ban
sache reconnaître ces lignes et les traiter. Il faut donc avoir
dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour
qu' il ne soit pas lui non plus écrasé par une mise à jour) qui
contienne une regex correspondant à ces logs et que dans la section
[dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de
regarder le bon fichier de log. Vu la gueule des messages ça doit
provenir de /var/log/auth.log mais c' est à confirmer.

Vincent
-- 
La musique adoucit-elle les moeurs? Testez-vous sur: 
http://soundcloud.com/ouhena 
http://www.reverbnation.com/koslow

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Philippe Gras 

Le 5 nov. 2015 à 14:35, Vincent Besse  a écrit :

> On Thu, 5 Nov 2015 13:41:34 +0100
> Philippe Gras  wrote:
> 
> [...]
> 
>> 
>> Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé 
>> en local
>> 
>> et ils sont restés tels quels après ma dernière mise à jour.
>> 
>> Mais je n'ai pas modifié de fichier de conf d'origine…
> 
> Les nommer en .local permet d' être sûr aussi que ton fichier ne posera
> pas de problème si une version ultérieure du paquet amène un fichier
> qui voudrait avoir le même nom que le tien. Et ça permet de repérer de
> suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.
> 
C'est fort probable… et en tout cas c'est vrai, si tu veux modifier un filtre 
ou une action

machin.conf. Dans mon cas, les conf originales que j'ai conservées, je les ai 
utilisées

telles quelles. Mais j'ai aussi dû créer des filtres et des actions personnels…

Je ne savais pas comment les nommer… alors je les ai nommés bidule_perso.conf et

ils n'ont pas été écrasés lors de la dernière MAJ.

Auraient-ils fonctionnés si je les avais nommés directement bidule_perso.local ?

C'est une question que je me suis posée, mais à laquelle je n'ai pas trouvé de 
réponse.

Re: Tentatives de login avec dovecot

2015-11-05 Par sujet Vincent Besse 
On Thu, 5 Nov 2015 13:41:34 +0100
Philippe Gras  wrote:

[...]

> 
> Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé 
> en local
> 
> et ils sont restés tels quels après ma dernière mise à jour.
> 
> Mais je n'ai pas modifié de fichier de conf d'origine…

Les nommer en .local permet d' être sûr aussi que ton fichier ne posera
pas de problème si une version ultérieure du paquet amène un fichier
qui voudrait avoir le même nom que le tien. Et ça permet de repérer de
suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.

> 
> > Vu la gueule des messages ça doit
> > provenir de /var/log/auth.log mais c' est à confirmer.
> 
> D'accord avec Vincent :-)
> > 
> Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez 
> Gogol s'impose.

D' accord avec Philippe :D

Vincent

-- 
La musique adoucit-elle les moeurs? Testez-vous sur: 
http://soundcloud.com/ouhena 
http://www.reverbnation.com/koslow

Re: Tentatives de login avec dovecot

2015-11-04 Par sujet Philippe Gras 

Le 4 nov. 2015 à 20:27, andre_deb...@numericable.fr a écrit :

> On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote:
>> Ils ne disparaîtront pas, mais ils seront droppés après les X 
>> tentatives infructueuses 
>> que tu auras définies dans jail.local
>> Au début du fichier, tu as toutes les définitions générales :
> 
> Onn peut préciser d'autres options, merci.

On peut modifier à peu près tous les éléments de configuration :-)
> 
>> (# cp jail.conf jail.local si besoin).
> 
> Ce qui veut dire alors que : jail.conf = jail.local ?

Comme l'a expliqué précédemment Jean-Jacques, tu commences par copier
jail.conf en le nommant jail.local (# cp jail.conf jail.local), et ensuite tu 
fais tes
propres configurations dans jail.local.

Alors, au début les 2 fichiers sont évidemment identiques, mais rapidement le
fichier local est enrichi par rapport au fichier conf.

C'est une procédure assez courante, car je l'ai déjà rencontrée avec différents
programmes (Awstats par ex.).

Re: Tentatives de login avec dovecot

2015-11-04 Par sujet andre_debian 
On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote:
> Ils ne disparaîtront pas, mais ils seront droppés après les X 
> tentatives infructueuses 
> que tu auras définies dans jail.local
> Au début du fichier, tu as toutes les définitions générales :

Onn peut préciser d'autres options, merci.

 > (# cp jail.conf jail.local si besoin).

Ce qui veut dire alors que : jail.conf = jail.local ?

André

Re: Tentatives de login avec dovecot

2015-11-04 Par sujet Philippe Gras 

Le 4 nov. 2015 à 12:56, andre_deb...@numericable.fr a écrit :

> On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote:
>>> Je constate des centaines de tentatives d'authentification
>>> sur mon serveur pop dovecot :
>>> 
>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>>> ruser=hollie rhost=173.9.136.221 : 6 Time(s)"
>>> 
>>> avec à chaque fois un "ruser" différent.
>>> Comment empêcher ces tentatives ?
> 
>> Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, 
>> tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi 
>> augmenté le temps de bannissement par défaut (de 10 minutes à 10 
>> heures). Pour cela, j'ai simplement créé un fichier 
>> /etc/fail2ban/jail.local contenant :
>> ---
>> [DEFAULT]
>> bantime  = 36000
>> [dovecot]
>> enabled = true
>> ---
>> A+  Jean-Jacques
> 
> Grand merci, j'ai fait ce que tu préconises.
> Je verrai si ces login ont moindri, voire disparu ?

Ils ne disparaîtront pas, mais ils seront droppés après les X tentatives 
infructueuses

que tu auras définies dans jail.local (# cp jail.conf jail.local si besoin).

Au début du fichier, tu as toutes les définitions générales :
=
[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8 XXX..XX/13 XX.XXX.XXX
findtime = 1127
bantime  = 600
maxretry = 3 # nombre de tentatives autorisées par défaut ;-)
=
Tu peux te faire envoyer des rapports de ban :
=
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
# destemail = root@localhost
destemail = monadre...@example.com
#
# ACTIONS
#
=
Continuer la suite pour affiner les configues de rapport…

Après, tu as des prisons spécifiques à chaque délit :
=
[default-forbidden]
enabled = false # jail désactivée
filter = nginx-forbidden# selon un filtre 
spécifique ou pas
port = http
banaction = iptables-xt_recent-echo # et une action spécifique ou pas
logpath = /var/log/nginx/error.log  # le fichier de log à analyser
bantime = 2419200   # ah, mais moi je veux 
les bannir pour au moins 1 mois !
=
Après, tu as plein de trucs pour repérer les chieurs sur les mails :
=
[postfix]

# enabled  = false
enabled = true
port = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
bantime = 2419200

[couriersmtp]

# enabled  = false
enabled = true
port = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log
bantime = 2419200

#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

# enabled  = false
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log
bantime = 2419200

[sasl]

enabled  = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port= smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log
=
Pareil, tu configures plus ou moins spécifiquement avec des filtres et des 
actions
perso selon tes besoins…

Je t'enverrai un rapport de ban sur ton adresse personnelle pour que tu voies à 
quoi
ça ressemble ;-)

> 

> "/etc/fail2ban/" contient aussi "jail.conf" :
> y a t-il ici une configuration à faire ?
> 
>> Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur 
>> dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des 
>> tentatives d'accès :
> 
> On le fait via "/etc/dovecot/dovecot.conf" ?
> 
> @+
> 
> André
> 
> 
>

Re: Tentatives de login avec dovecot

2015-11-04 Par sujet Jean-Jacques Doti 

Le 04/11/2015 12:56, andre_deb...@numericable.fr a écrit :

On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote:

Je constate des centaines de tentatives d'authentification
sur mon serveur pop dovecot :

"authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=hollie rhost=173.9.136.221 : 6 Time(s)"

avec à chaque fois un "ruser" différent.
Comment empêcher ces tentatives ?

Sur mon serveur de messagerie, j'utilise fail2ban. Après installation,
tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi
augmenté le temps de bannissement par défaut (de 10 minutes à 10
heures). Pour cela, j'ai simplement créé un fichier
/etc/fail2ban/jail.local contenant :
---
[DEFAULT]
bantime  = 36000
[dovecot]
enabled = true
---
A+  Jean-Jacques

Grand merci, j'ai fait ce que tu préconises.
Je verrai si ces login ont moindri, voire disparu ?

"/etc/fail2ban/" contient aussi "jail.conf" :
y a t-il ici une configuration à faire ?
jail.conf contient la conf de fail2ban mais les paramètres peuvent être 
surchargés par ce que l'on met dans jail.local. L'intérêt de ne pas 
modifier jail.conf et de pouvoir avoir les nouvelles versions de ce 
fichier en cas de mise à jour du paquet.
Il reste quand même intéressant d'aller lire ce qu'il contient pour voir 
quels sont les filtres livrés en standard et activables (ssh, apache, 
serveurs SMTP, …)

Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur
dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des
tentatives d'accès :

On le fait via "/etc/dovecot/dovecot.conf" ?
Ben si tu as une installation standard de dovecot sous Debian, la 
configuration est distribuée dans les fichiers *.conf sous 
/etc/dovecot/conf.d. Pour activer le SSL/TLS, il faudra modifier le 
fichier 10-ssl.conf et, surtout, générer la clé et le certificat 
nécessaires au chiffrement (comme pour un serveur HTTPS). S'il y a peu 
d'utilisateurs (ou qu'ils sont captifs), tu peux peut-être te contenter 
d'un certificat auto-signé (ou avoir ta propre AC), sinon il faudra 
passer par un certificat délivré par une autorité de certification 
reconnue par les logiciels clients.
Le chiffrement de la communication permettra au moins d'éviter que les 
mots de passes soient transmis en clair (il me semblait d'ailleurs que 
dans la configuration par défaut sous Debian, l'envoi de mot de passe en 
clair sur une liaison non chiffrée n'était pas accepté par dovecot).


A+
Jean-Jacques

Re: Tentatives de login avec dovecot

2015-11-04 Par sujet andre_debian 
On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote:
> > Je constate des centaines de tentatives d'authentification
> > sur mon serveur pop dovecot :
> > 
> > "authentication failure; logname= uid=0 euid=0 tty=dovecot
> > ruser=hollie rhost=173.9.136.221 : 6 Time(s)"
> > 
> > avec à chaque fois un "ruser" différent.
> > Comment empêcher ces tentatives ?

> Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, 
> tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi 
> augmenté le temps de bannissement par défaut (de 10 minutes à 10 
> heures). Pour cela, j'ai simplement créé un fichier 
> /etc/fail2ban/jail.local contenant :
> ---
> [DEFAULT]
> bantime  = 36000
> [dovecot]
> enabled = true
> ---
> A+  Jean-Jacques

Grand merci, j'ai fait ce que tu préconises.
Je verrai si ces login ont moindri, voire disparu ?

"/etc/fail2ban/" contient aussi "jail.conf" :
y a t-il ici une configuration à faire ?

> Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur 
> dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des 
> tentatives d'accès :

On le fait via "/etc/dovecot/dovecot.conf" ?

@+

André

Tentatives de login avec dovecot

2015-11-04 Par sujet andre_debian 
Bonjour,

Je constate des centaines de tentatives d'authentification
sur mon serveur pop dovecot :

"authentication failure; logname= uid=0 euid=0 tty=dovecot 
ruser=hollie rhost=173.9.136.221 : 6 Time(s)"

avec à chaque fois un "ruser" différent.

Comment empêcher ces tentatives ?

André

Re: Tentatives de login avec dovecot

2015-11-04 Par sujet Jean-Jacques Doti 

Salut,

Le 04/11/2015 11:26, andre_deb...@numericable.fr a écrit :

Bonjour,

Je constate des centaines de tentatives d'authentification
sur mon serveur pop dovecot :

"authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=hollie rhost=173.9.136.221 : 6 Time(s)"

avec à chaque fois un "ruser" différent.

Comment empêcher ces tentatives ?
Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, 
tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi 
augmenté le temps de bannissement par défaut (de 10 minutes à 10 
heures). Pour cela, j'ai simplement créé un fichier 
/etc/fail2ban/jail.local contenant :

---
[DEFAULT]
bantime  = 36000

[dovecot]
enabled = true
---

Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur 
dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des 
tentatives d'accès.


A+
Jean-Jacques