- 1. 概要
- 2. フィルタ
- 3. 設定
- 4. 参考サイト
1. 概要
まずは、一番攻撃を受けていると思われる、メールサーバの「postfix」「dovecot」への設定から行っていきます。
2. フィルタ
デフォルトで、「postfix」「dovecot」のフィルタは、下記に用意されています。
/usr/local/etc/fail2ban/filter.d/postfix.conf
/usr/local/etc/fail2ban/filter.d/dovecot.conf
詳細を吟味しておりませんが、とりあえず、このままにしておきましょう。
service ipfw restart
3. 設定
「fail2ban」に「postfix」「dovecot」の設定を行います。
vi /usr/local/etc/fail2ban/jail.local
「DEFAULT」セクションは、既に記述済であるものとして。
下記を記述します。
banaction = ipfw
findtime = 86400
maxretry = 5
bantime = 604800
[postfix]
enabled = true
filter = postfix
logpath = /var/log/mail/maillog
[dovecot]
enabled = true
filter = dovecot
logpath = /var/log/mail/maillog
2行目は、「ipfw」を使用し、テーブル番号10番に登録する設定です。
3~5行は、4時間(86400秒)監視し、5回失敗したら、1週間(604800秒)「BAN」する例です。
7行からが、「postfix」の監視設定で、12行からが「dovecot」(SASL認証失敗)の設定です。
設定をチェックします。
fail2ban-client -d
特にエラーが出なければ。
再読み込みして有効化します。
service fail2ban reload
4. 参考サイト
本ページは、「Gemini」伍長を参考にさせていただきました。
|
|
