Re: Tentatives de login avec dovecot
Bonjour, Depuis les additifs dans "/etc/fail2ban/", ça s'améliore avec quasiment plus de connexions, aujourd'hui, une seule et limitée à 2 : dovecot: Invalid Users: Unknown Account: 2 Time(s) Unknown Entries: authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=@ rhost=88.191.250.166 : 2 Time(s). André
Re: Tentatives de login avec dovecot
Le 04/11/2015 23:02, Philippe Gras a écrit : Le 4 nov. 2015 à 20:27, andre_deb...@numericable.fr a écrit : On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote: Ils ne disparaîtront pas, mais ils seront droppés après les X tentatives infructueuses que tu auras définies dans jail.local Au début du fichier, tu as toutes les définitions générales : Onn peut préciser d'autres options, merci. On peut modifier à peu près tous les éléments de configuration :-) (# cp jail.conf jail.local si besoin). Ce qui veut dire alors que : jail.conf = jail.local ? Comme l'a expliqué précédemment Jean-Jacques, tu commences par copier jail.conf en le nommant jail.local (# cp jail.conf jail.local), et ensuite tu fais tes propres configurations dans jail.local. Alors, au début les 2 fichiers sont évidemment identiques, mais rapidement le fichier local est enrichi par rapport au fichier conf. En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. Pour ma part, je ne mets dans jail.local que mes ajouts/modifications par rapport à jail.conf. Je ne réalise donc pas une copie préalable de jail.conf vers jail.local. Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier post et rien d'autre (enfin, j'ai aussi quelques autres jails pour lesquels j'ai surchargé la conf mais sur le même principe). L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de conf. Évidemment, ça peut aussi être un soucis si le mainteneur change une option qui me convenait mais l'important est d'en être conscient (et sur une debian stable, le risque est très limité). A+ JJ
Re: Tentatives de login avec dovecot
Le 5 nov. 2015 à 09:29, Jean-Jacques Dotia écrit : > Le 04/11/2015 23:02, Philippe Gras a écrit : >> Le 4 nov. 2015 à 20:27, andre_deb...@numericable.fr a écrit : >> >>> On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote: Ils ne disparaîtront pas, mais ils seront droppés après les X tentatives infructueuses que tu auras définies dans jail.local Au début du fichier, tu as toutes les définitions générales : >>> Onn peut préciser d'autres options, merci. >> On peut modifier à peu près tous les éléments de configuration :-) (# cp jail.conf jail.local si besoin). >>> Ce qui veut dire alors que : jail.conf = jail.local ? >> Comme l'a expliqué précédemment Jean-Jacques, tu commences par copier >> jail.conf en le nommant jail.local (# cp jail.conf jail.local), et ensuite >> tu fais tes >> propres configurations dans jail.local. >> >> Alors, au début les 2 fichiers sont évidemment identiques, mais rapidement le >> fichier local est enrichi par rapport au fichier conf. >> > En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. Pour > ma part, je ne mets dans jail.local que mes ajouts/modifications par rapport > à jail.conf. Je ne réalise donc pas une copie préalable de jail.conf vers > jail.local. Si le fichier jail.local existe à l'installation, il est l'exacte reproduction de jail.conf Le cas échéant (je ne m'en souviens plus), inutile de copier ce dernier. > Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier post > et rien d'autre (enfin, j'ai aussi quelques autres jails pour lesquels j'ai > surchargé la conf mais sur le même principe). Chacun y met ce qui lui convient, c'est ça qui est chouette :-) > L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de > conf. Évidemment, ça peut aussi être un soucis si le mainteneur change une > option qui me convenait mais l'important est d'en être conscient (et sur une > debian stable, le risque est très limité). sic. > > A+ > JJ >
Re: Tentatives de login avec dovecot
Le 5 nov. 2015 à 12:36, andre_deb...@numericable.fr a écrit : > On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote: >> En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. >> Pour ma part, je ne mets dans jail.local que mes ajouts/modifications >> par rapport à jail.conf. Je ne réalise donc pas une copie préalable de >> jail.conf vers jail.local. >> Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier >> post et rien d'autre (enfin, j'ai aussi quelques autres jails pour >> lesquels j'ai surchargé la conf mais sur le même principe). >> L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de >> conf. Évidemment, ça peut aussi être un soucis si le mainteneur change >> une option qui me convenait mais l'important est d'en être conscient (et >> sur une debian stable, le risque est très limité). > > J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : > === > authentication failure; logname= uid=0 euid=0 tty=dovecot > ruser=ad...@free.org > rhost=192.162.68.120 : 12 Time(s) > authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=t...@free.org > rhost=192.162.68.120 : 11 Time(s) > ... > === > 12 Times et 11 Times..., alors que maxretry = 3. Oui, c'est possible quand les requêtes sont simultanées. Au fil du temps, ça va s'arranger pourvu que tu bannisse les IP assez longtemps. Une autre condition est que le filtre soit adéquat. Par exemple, j'utilise NginX comme serveur Web, et j'ai dû créer des filtres en conséquence. Par ailleurs, certains de mes sites sont chez Cloudflare. Il faut attendre que le service traite les données, donc ponctuellement il peut y avoir une inflation de vilaines requêtes. >
Re: Tentatives de login avec dovecot
Le 5 nov. 2015 à 13:09, Vincent Bessea écrit : > On Thu, 5 Nov 2015 12:36:03 +0100 > andre_deb...@numericable.fr wrote: > >> [...] >> >> J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : >> === >> authentication failure; logname= uid=0 euid=0 tty=dovecot >> ruser=ad...@free.org >> rhost=192.162.68.120 : 12 Time(s) >> authentication failure; logname= uid=0 euid=0 tty=dovecot >> ruser=t...@free.org >> rhost=192.162.68.120 : 11 Time(s) >> ... >> === >> 12 Times et 11 Times..., alors que maxretry = 3. >> >> André > > Avoir un fichier jail.local est une chose, encore faut-il que fail2ban > sache reconnaître ces lignes et les traiter. Il faut donc avoir > dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour > qu' il ne soit pas lui non plus écrasé par une mise à jour) qui > contienne une regex correspondant à ces logs et que dans la section > [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de > regarder le bon fichier de log. Tu peux tester tes paramètres de configuration ainsi : /usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local) Par exemple ce que j'ai fait pour les tentatives de login sur le Web : /usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local et ils sont restés tels quels après ma dernière mise à jour. Mais je n'ai pas modifié de fichier de conf d'origine… > Vu la gueule des messages ça doit > provenir de /var/log/auth.log mais c' est à confirmer. D'accord avec Vincent :-) > Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose. >
Re: Tentatives de login avec dovecot
On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote: > En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. > Pour ma part, je ne mets dans jail.local que mes ajouts/modifications > par rapport à jail.conf. Je ne réalise donc pas une copie préalable de > jail.conf vers jail.local. > Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier > post et rien d'autre (enfin, j'ai aussi quelques autres jails pour > lesquels j'ai surchargé la conf mais sur le même principe). > L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de > conf. Évidemment, ça peut aussi être un soucis si le mainteneur change > une option qui me convenait mais l'important est d'en être conscient (et > sur une debian stable, le risque est très limité). J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : === authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=ad...@free.org rhost=192.162.68.120 : 12 Time(s) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=t...@free.org rhost=192.162.68.120 : 11 Time(s) ... === 12 Times et 11 Times..., alors que maxretry = 3. André
Re: Tentatives de login avec dovecot
On Thu, 5 Nov 2015 12:36:03 +0100 andre_deb...@numericable.fr wrote: >[...] > > J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : > === > authentication failure; logname= uid=0 euid=0 tty=dovecot > ruser=ad...@free.org > rhost=192.162.68.120 : 12 Time(s) > authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=t...@free.org > rhost=192.162.68.120 : 11 Time(s) > ... > === > 12 Times et 11 Times..., alors que maxretry = 3. > > André Avoir un fichier jail.local est une chose, encore faut-il que fail2ban sache reconnaître ces lignes et les traiter. Il faut donc avoir dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour qu' il ne soit pas lui non plus écrasé par une mise à jour) qui contienne une regex correspondant à ces logs et que dans la section [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de regarder le bon fichier de log. Vu la gueule des messages ça doit provenir de /var/log/auth.log mais c' est à confirmer. Vincent -- La musique adoucit-elle les moeurs? Testez-vous sur: http://soundcloud.com/ouhena http://www.reverbnation.com/koslow
Re: Tentatives de login avec dovecot
Le 5 nov. 2015 à 14:35, Vincent Bessea écrit : > On Thu, 5 Nov 2015 13:41:34 +0100 > Philippe Gras wrote: > > [...] > >> >> Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé >> en local >> >> et ils sont restés tels quels après ma dernière mise à jour. >> >> Mais je n'ai pas modifié de fichier de conf d'origine… > > Les nommer en .local permet d' être sûr aussi que ton fichier ne posera > pas de problème si une version ultérieure du paquet amène un fichier > qui voudrait avoir le même nom que le tien. Et ça permet de repérer de > suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'. > C'est fort probable… et en tout cas c'est vrai, si tu veux modifier un filtre ou une action machin.conf. Dans mon cas, les conf originales que j'ai conservées, je les ai utilisées telles quelles. Mais j'ai aussi dû créer des filtres et des actions personnels… Je ne savais pas comment les nommer… alors je les ai nommés bidule_perso.conf et ils n'ont pas été écrasés lors de la dernière MAJ. Auraient-ils fonctionnés si je les avais nommés directement bidule_perso.local ? C'est une question que je me suis posée, mais à laquelle je n'ai pas trouvé de réponse.
Re: Tentatives de login avec dovecot
On Thu, 5 Nov 2015 13:41:34 +0100 Philippe Graswrote: [...] > > Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé > en local > > et ils sont restés tels quels après ma dernière mise à jour. > > Mais je n'ai pas modifié de fichier de conf d'origine… Les nommer en .local permet d' être sûr aussi que ton fichier ne posera pas de problème si une version ultérieure du paquet amène un fichier qui voudrait avoir le même nom que le tien. Et ça permet de repérer de suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'. > > > Vu la gueule des messages ça doit > > provenir de /var/log/auth.log mais c' est à confirmer. > > D'accord avec Vincent :-) > > > Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez > Gogol s'impose. D' accord avec Philippe :D Vincent -- La musique adoucit-elle les moeurs? Testez-vous sur: http://soundcloud.com/ouhena http://www.reverbnation.com/koslow
Re: Tentatives de login avec dovecot
Le 4 nov. 2015 à 20:27, andre_deb...@numericable.fr a écrit : > On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote: >> Ils ne disparaîtront pas, mais ils seront droppés après les X >> tentatives infructueuses >> que tu auras définies dans jail.local >> Au début du fichier, tu as toutes les définitions générales : > > Onn peut préciser d'autres options, merci. On peut modifier à peu près tous les éléments de configuration :-) > >> (# cp jail.conf jail.local si besoin). > > Ce qui veut dire alors que : jail.conf = jail.local ? Comme l'a expliqué précédemment Jean-Jacques, tu commences par copier jail.conf en le nommant jail.local (# cp jail.conf jail.local), et ensuite tu fais tes propres configurations dans jail.local. Alors, au début les 2 fichiers sont évidemment identiques, mais rapidement le fichier local est enrichi par rapport au fichier conf. C'est une procédure assez courante, car je l'ai déjà rencontrée avec différents programmes (Awstats par ex.).
Re: Tentatives de login avec dovecot
On Wednesday 04 November 2015 15:29:13 Philippe Gras wrote: > Ils ne disparaîtront pas, mais ils seront droppés après les X > tentatives infructueuses > que tu auras définies dans jail.local > Au début du fichier, tu as toutes les définitions générales : Onn peut préciser d'autres options, merci. > (# cp jail.conf jail.local si besoin). Ce qui veut dire alors que : jail.conf = jail.local ? André
Re: Tentatives de login avec dovecot
Le 4 nov. 2015 à 12:56, andre_deb...@numericable.fr a écrit : > On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote: >>> Je constate des centaines de tentatives d'authentification >>> sur mon serveur pop dovecot : >>> >>> "authentication failure; logname= uid=0 euid=0 tty=dovecot >>> ruser=hollie rhost=173.9.136.221 : 6 Time(s)" >>> >>> avec à chaque fois un "ruser" différent. >>> Comment empêcher ces tentatives ? > >> Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, >> tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi >> augmenté le temps de bannissement par défaut (de 10 minutes à 10 >> heures). Pour cela, j'ai simplement créé un fichier >> /etc/fail2ban/jail.local contenant : >> --- >> [DEFAULT] >> bantime = 36000 >> [dovecot] >> enabled = true >> --- >> A+ Jean-Jacques > > Grand merci, j'ai fait ce que tu préconises. > Je verrai si ces login ont moindri, voire disparu ? Ils ne disparaîtront pas, mais ils seront droppés après les X tentatives infructueuses que tu auras définies dans jail.local (# cp jail.conf jail.local si besoin). Au début du fichier, tu as toutes les définitions générales : = [DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1/8 XXX..XX/13 XX.XXX.XXX findtime = 1127 bantime = 600 maxretry = 3 # nombre de tentatives autorisées par défaut ;-) = Tu peux te faire envoyer des rapports de ban : = # # Destination email address used solely for the interpolations in # jail.{conf,local} configuration files. # destemail = root@localhost destemail = monadre...@example.com # # ACTIONS # = Continuer la suite pour affiner les configues de rapport… Après, tu as des prisons spécifiques à chaque délit : = [default-forbidden] enabled = false # jail désactivée filter = nginx-forbidden# selon un filtre spécifique ou pas port = http banaction = iptables-xt_recent-echo # et une action spécifique ou pas logpath = /var/log/nginx/error.log # le fichier de log à analyser bantime = 2419200 # ah, mais moi je veux les bannir pour au moins 1 mois ! = Après, tu as plein de trucs pour repérer les chieurs sur les mails : = [postfix] # enabled = false enabled = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log bantime = 2419200 [couriersmtp] # enabled = false enabled = true port = smtp,ssmtp filter = couriersmtp logpath = /var/log/mail.log bantime = 2419200 # # Mail servers authenticators: might be used for smtp,ftp,imap servers, so # all relevant ports get banned # [courierauth] # enabled = false enabled = true port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = courierlogin logpath = /var/log/mail.log bantime = 2419200 [sasl] enabled = false port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = sasl # You might consider monitoring /var/log/mail.warn instead if you are # running postfix since it would provide the same log lines at the # "warn" level but overall at the smaller filesize. logpath = /var/log/mail.log [dovecot] enabled = false port= smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = dovecot logpath = /var/log/mail.log = Pareil, tu configures plus ou moins spécifiquement avec des filtres et des actions perso selon tes besoins… Je t'enverrai un rapport de ban sur ton adresse personnelle pour que tu voies à quoi ça ressemble ;-) > > "/etc/fail2ban/" contient aussi "jail.conf" : > y a t-il ici une configuration à faire ? > >> Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur >> dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des >> tentatives d'accès : > > On le fait via "/etc/dovecot/dovecot.conf" ? > > @+ > > André > > >
Re: Tentatives de login avec dovecot
Le 04/11/2015 12:56, andre_deb...@numericable.fr a écrit : On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote: Je constate des centaines de tentatives d'authentification sur mon serveur pop dovecot : "authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=hollie rhost=173.9.136.221 : 6 Time(s)" avec à chaque fois un "ruser" différent. Comment empêcher ces tentatives ? Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi augmenté le temps de bannissement par défaut (de 10 minutes à 10 heures). Pour cela, j'ai simplement créé un fichier /etc/fail2ban/jail.local contenant : --- [DEFAULT] bantime = 36000 [dovecot] enabled = true --- A+ Jean-Jacques Grand merci, j'ai fait ce que tu préconises. Je verrai si ces login ont moindri, voire disparu ? "/etc/fail2ban/" contient aussi "jail.conf" : y a t-il ici une configuration à faire ? jail.conf contient la conf de fail2ban mais les paramètres peuvent être surchargés par ce que l'on met dans jail.local. L'intérêt de ne pas modifier jail.conf et de pouvoir avoir les nouvelles versions de ce fichier en cas de mise à jour du paquet. Il reste quand même intéressant d'aller lire ce qu'il contient pour voir quels sont les filtres livrés en standard et activables (ssh, apache, serveurs SMTP, …) Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des tentatives d'accès : On le fait via "/etc/dovecot/dovecot.conf" ? Ben si tu as une installation standard de dovecot sous Debian, la configuration est distribuée dans les fichiers *.conf sous /etc/dovecot/conf.d. Pour activer le SSL/TLS, il faudra modifier le fichier 10-ssl.conf et, surtout, générer la clé et le certificat nécessaires au chiffrement (comme pour un serveur HTTPS). S'il y a peu d'utilisateurs (ou qu'ils sont captifs), tu peux peut-être te contenter d'un certificat auto-signé (ou avoir ta propre AC), sinon il faudra passer par un certificat délivré par une autorité de certification reconnue par les logiciels clients. Le chiffrement de la communication permettra au moins d'éviter que les mots de passes soient transmis en clair (il me semblait d'ailleurs que dans la configuration par défaut sous Debian, l'envoi de mot de passe en clair sur une liaison non chiffrée n'était pas accepté par dovecot). A+ Jean-Jacques
Re: Tentatives de login avec dovecot
On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote: > > Je constate des centaines de tentatives d'authentification > > sur mon serveur pop dovecot : > > > > "authentication failure; logname= uid=0 euid=0 tty=dovecot > > ruser=hollie rhost=173.9.136.221 : 6 Time(s)" > > > > avec à chaque fois un "ruser" différent. > > Comment empêcher ces tentatives ? > Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, > tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi > augmenté le temps de bannissement par défaut (de 10 minutes à 10 > heures). Pour cela, j'ai simplement créé un fichier > /etc/fail2ban/jail.local contenant : > --- > [DEFAULT] > bantime = 36000 > [dovecot] > enabled = true > --- > A+ Jean-Jacques Grand merci, j'ai fait ce que tu préconises. Je verrai si ces login ont moindri, voire disparu ? "/etc/fail2ban/" contient aussi "jail.conf" : y a t-il ici une configuration à faire ? > Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur > dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des > tentatives d'accès : On le fait via "/etc/dovecot/dovecot.conf" ? @+ André
Tentatives de login avec dovecot
Bonjour, Je constate des centaines de tentatives d'authentification sur mon serveur pop dovecot : "authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=hollie rhost=173.9.136.221 : 6 Time(s)" avec à chaque fois un "ruser" différent. Comment empêcher ces tentatives ? André
Re: Tentatives de login avec dovecot
Salut, Le 04/11/2015 11:26, andre_deb...@numericable.fr a écrit : Bonjour, Je constate des centaines de tentatives d'authentification sur mon serveur pop dovecot : "authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=hollie rhost=173.9.136.221 : 6 Time(s)" avec à chaque fois un "ruser" différent. Comment empêcher ces tentatives ? Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi augmenté le temps de bannissement par défaut (de 10 minutes à 10 heures). Pour cela, j'ai simplement créé un fichier /etc/fail2ban/jail.local contenant : --- [DEFAULT] bantime = 36000 [dovecot] enabled = true --- Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des tentatives d'accès. A+ Jean-Jacques