सोलारिस 10 पर सेंडमेल ब्रूट फोर्स अटैक से बचाव

4

मैं विशिष्ट कनेक्शन को गतिशील रूप से ब्लॉक करना चाहता हूं जो समान दर या कनेक्शन सीमा के आधार पर समान आईपी पते का उपयोग करते हैं। क्या यह Solaris / IPF या कुछ सेंडमेल एक्सटेंशन का उपयोग करना संभव है? मैं जानवर बल के हमलों को रोकने के लिए Sendmail लॉगिन प्रयासों को सीमित करना चाहता हूं।

लिनक्स में यह आसानी से iptables फ़ायरवॉल लेयर पर संभाला जाता है, लेकिन मैं फ़ायरवॉल लेयर पर इसे सीमित करने के लिए ipf का उपयोग करने का एक तरीका नहीं निकाल पाया हूँ। Sendmail में एक अंतर्निहित दर सीमा और कनेक्शन सीमा होती है, लेकिन यह सभी उपयोगकर्ताओं पर लागू होता है, इसलिए यदि हम DOS या DDOS का अनुभव कर रहे हैं, तो यह हमारे सभी उपयोगकर्ताओं को केवल हमलावर के बजाय ब्लॉक कर देगा।

security  solaris  smtp  sendmail  brute-force 
Andrew Case
स्रोत
क्या आपको वास्तव में यह आवश्यक है कि Sendmail को स्थानीय मोड में न चलाया जाए? बस डेमॉन तक रिमोट एक्सेस की अनुमति परिमित लॉगिन प्रयासों से भी खतरनाक हो सकती है। ऐसा नहीं है कि अब दिनों में भी स्क्रिप्ट किडिज़ अन्य लोगों के बॉटनेट पर पिगी द्वारा आईपी को शिफ्ट करने के साथ एक क्रूर बल हमले का उपयोग कर सकते हैं।
Blomkvist
हां, इसे वास्तव में दूर से सुलभ होना चाहिए। मैं सुरक्षा के निहितार्थ को समझता हूं, मुझे सिर्फ उन्हें कम करने की जरूरत है।
Andrew Case
कब भेजा गया है नहीं रिमोट एक्सेस मोड में उपयोग किया जाता है? अगर मुझे एक स्थानीय मेल सर्वर की आवश्यकता है, तो मैं सिर्फ Sendmail को शुद्ध करूंगा, और एक्जिम को स्थापित करूंगा।
RapidWebs

जवाबों:

1

मैं इसे मेल मेल करने के लिए syslog / rsyslog में एक और नियम जोड़कर हल करता हूं। * मेसेज इन a फीफो टू / etc / mail / mailban / syslog_fifo

मैंने तब syslog_fifo को पढ़ने के लिए एक डेमॉन बनाया, सेंडमेल के संदेशों को पार्स किया, और जो मिला है उस पर काम किया। प्रत्येक आईपी पते और गतिविधि के इतिहास को 1.5 मिलियन (!) पंक्ति mysql तालिका के माध्यम से ट्रैक किया जाता है। विभिन्न मानदंडों के आधार पर विभिन्न अवधि / बंदरगाहों के लिए iptables में एक प्रतिबंध श्रृंखला में आने वाले आईपी पते जोड़ दिए जाते हैं, और जीवन मीठा हो जाता है ...

एक साधारण क्रोन कार्य हर घंटे चलता है और पुराने आईपी पते जारी करता है और तदनुसार डेटाबेस में स्थिति को अपडेट करता है।

अब मैंने सॉफ़्टवेयर को स्वचालित रूप से लॉग रिकॉर्ड संकलित करने और उसे पवित्र करने के लिए बनाया, आईपी के लिए जिम्मेदार दुरुपयोग पते का पता लगाएं और फिर एक रिपोर्ट भेजकर आईएसपी को बेईमान व्यवहार की सूचना दी। यह लगभग 5% मामलों में काम करता है, और नेट को साफ करने में थोड़ी मदद करता है।

इसके बाद भी ऐसे ISP के एक ब्लैकलिस्ट की आवश्यकता होती है जो इस प्रकार की शिकायतों को स्वीकार या अनदेखा नहीं करता है, और यह समय के साथ विकसित होता है।

मैं भी ssh, pop3, httpd हमलों के लिए एक और समान समाधान का उपयोग करता हूं।

मैं ऐसा करने वाले किसी अन्य सॉफ़्टवेयर के बारे में नहीं जानता, लेकिन मैं आपको एक समाधान विकसित करने में मदद कर सकता हूं, हालांकि मैं RedHat / Fedora से सबसे अधिक परिचित हूं।

Andy Lee Robinson
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.