当社はIT技術のオンライン教育を得意としたセミナー専門会社です。 | 一戸英男

ITエンジニアの技術力UPをお約束します。

Fail2ban:PostfixAdminで使っているDovecotログへの対応(備忘録)

Fail2ban:PostfixAdminで使っているDovecotログへの対応(備忘録)


fail2banは有名なソフトで攻撃してきたサービスの吐き出すログをベースにほぼリアルタイムで悪い輩のアクセスIPを記憶してFirewallでブロックしてくれるサービス。

一般的にsshdやhttpd等はお決まりのサービスを使用するケースがあるためデフォルトでブロックを有効にすればたちまちにBANしてくれる優秀なfirewallの補完ツールだ。でも逆を言ってしまうと既定でないサービスはうまくフィルターが効かない。

今回、管理しているサイトでPostfixAdmin構成でDovecotを使用していたサイトが非常に煩いDovecot DDos攻撃のジェネレーションアタックがあり、rejectではおっつかない状況に陥り、fail2banを使おうと思った。しかしPostfixAdminの吐き出すdovecotのログパターンが通常とは違っていたのでfilterをちょろちょろ書き直した。おかげで2日で攻撃者が消えた。

/etc/fail2ban/filter.d/dovecot.confの書き換え

タグ: , , , , , ,