सोलारिस 10 पर सेंडमेल ब्रूट फोर्स अटैक से बचाव


4

मैं विशिष्ट कनेक्शन को गतिशील रूप से ब्लॉक करना चाहता हूं जो समान दर या कनेक्शन सीमा के आधार पर समान आईपी पते का उपयोग करते हैं। क्या यह Solaris / IPF या कुछ सेंडमेल एक्सटेंशन का उपयोग करना संभव है? मैं जानवर बल के हमलों को रोकने के लिए Sendmail लॉगिन प्रयासों को सीमित करना चाहता हूं।

लिनक्स में यह आसानी से iptables फ़ायरवॉल लेयर पर संभाला जाता है, लेकिन मैं फ़ायरवॉल लेयर पर इसे सीमित करने के लिए ipf का उपयोग करने का एक तरीका नहीं निकाल पाया हूँ। Sendmail में एक अंतर्निहित दर सीमा और कनेक्शन सीमा होती है, लेकिन यह सभी उपयोगकर्ताओं पर लागू होता है, इसलिए यदि हम DOS या DDOS का अनुभव कर रहे हैं, तो यह हमारे सभी उपयोगकर्ताओं को केवल हमलावर के बजाय ब्लॉक कर देगा।


क्या आपको वास्तव में यह आवश्यक है कि Sendmail को स्थानीय मोड में न चलाया जाए? बस डेमॉन तक रिमोट एक्सेस की अनुमति परिमित लॉगिन प्रयासों से भी खतरनाक हो सकती है। ऐसा नहीं है कि अब दिनों में भी स्क्रिप्ट किडिज़ अन्य लोगों के बॉटनेट पर पिगी द्वारा आईपी को शिफ्ट करने के साथ एक क्रूर बल हमले का उपयोग कर सकते हैं।
Blomkvist

हां, इसे वास्तव में दूर से सुलभ होना चाहिए। मैं सुरक्षा के निहितार्थ को समझता हूं, मुझे सिर्फ उन्हें कम करने की जरूरत है।
Andrew Case

कब भेजा गया है नहीं रिमोट एक्सेस मोड में उपयोग किया जाता है? अगर मुझे एक स्थानीय मेल सर्वर की आवश्यकता है, तो मैं सिर्फ Sendmail को शुद्ध करूंगा, और एक्जिम को स्थापित करूंगा।
RapidWebs

जवाबों:


1

मैं इसे मेल मेल करने के लिए syslog / rsyslog में एक और नियम जोड़कर हल करता हूं। * मेसेज इन a फीफो टू / etc / mail / mailban / syslog_fifo

मैंने तब syslog_fifo को पढ़ने के लिए एक डेमॉन बनाया, सेंडमेल के संदेशों को पार्स किया, और जो मिला है उस पर काम किया। प्रत्येक आईपी पते और गतिविधि के इतिहास को 1.5 मिलियन (!) पंक्ति mysql तालिका के माध्यम से ट्रैक किया जाता है। विभिन्न मानदंडों के आधार पर विभिन्न अवधि / बंदरगाहों के लिए iptables में एक प्रतिबंध श्रृंखला में आने वाले आईपी पते जोड़ दिए जाते हैं, और जीवन मीठा हो जाता है ...

एक साधारण क्रोन कार्य हर घंटे चलता है और पुराने आईपी पते जारी करता है और तदनुसार डेटाबेस में स्थिति को अपडेट करता है।

अब मैंने सॉफ़्टवेयर को स्वचालित रूप से लॉग रिकॉर्ड संकलित करने और उसे पवित्र करने के लिए बनाया, आईपी के लिए जिम्मेदार दुरुपयोग पते का पता लगाएं और फिर एक रिपोर्ट भेजकर आईएसपी को बेईमान व्यवहार की सूचना दी। यह लगभग 5% मामलों में काम करता है, और नेट को साफ करने में थोड़ी मदद करता है।

इसके बाद भी ऐसे ISP के एक ब्लैकलिस्ट की आवश्यकता होती है जो इस प्रकार की शिकायतों को स्वीकार या अनदेखा नहीं करता है, और यह समय के साथ विकसित होता है।

मैं भी ssh, pop3, httpd हमलों के लिए एक और समान समाधान का उपयोग करता हूं।

मैं ऐसा करने वाले किसी अन्य सॉफ़्टवेयर के बारे में नहीं जानता, लेकिन मैं आपको एक समाधान विकसित करने में मदद कर सकता हूं, हालांकि मैं RedHat / Fedora से सबसे अधिक परिचित हूं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.