dermicha
New Member
Hallo,
allen im Forum ein gutes Neues Jahr!
Ich habe einen vServer bei netcup auf Debian Lenny laufen.
Ich verwendet das Courier Paket für POP3 und IMAP Dienste. Da ich auf dem POP3 Dienst vermehrt BruteForce Attacken verzeichne möchte ich für die Mail-Dienste eine maximale Anzahl von 3 Fehl-Logins pro IP realisieren. Über iptables geht das ja bei vservern leider nicht, deshalb habe ich versucht diese Funktionalität über das PAM Modul, dass von Courier verwendet wird, zu realisieren:
Leider kann man PAM wohl nicht dazu bewegen /etc/hosts.deny zu verwenden, das von Fail2Ban bereits zwecks absicherung des ssh-Dienstes befüllt wird.
Ich habe dann das Modul pam_access entdeckt, dass das Blocken einzelner IPs und auch IP-Ranges unterstützt. Also habe ich dieses unter in die POP3 Config eingebunden:
Und ein automatisches Befüllen der /etc/security/access.conf durch Fail2Ban eingerichtet. Dazu habe ich der entsprechenden Fail2Ban Config im Verzeichnis :/etc/fail2ban/action.d folgenden Inhalt hinzugefügt:
Leider erhalte ich nun in der auth.log folgende Fehlermeldung:
Das Modul pam_access kriegt also scheinbar die IP-Adresse nicht vom Courier-Pop überreicht und kann dementsprechend auch keinen Abgleich mit den Einträgen machen.
Ich arbeite jetzt schon lange an dieser Problematik und finde leider nichts dazu. Weiß jemand wie man den POP3 Dienst von Courier dazu bringt dem pam_access Modul die IP-Adresse des Einloggenden mitzuteilen? Oder eventuell eine andere Möglichkeit eine maximale Anzahl von 3 Fehl-Logins pro IP realisieren?
Viele Grüße
Michael
allen im Forum ein gutes Neues Jahr!
Ich habe einen vServer bei netcup auf Debian Lenny laufen.
Code:
uname -a
Linux 2.6.31.6-vs2.3.0.36.24-beng #1 SMP Mon Nov 16 16:57:29 GMT 2009 x86_64 GNU/LinuxIch verwendet das Courier Paket für POP3 und IMAP Dienste. Da ich auf dem POP3 Dienst vermehrt BruteForce Attacken verzeichne möchte ich für die Mail-Dienste eine maximale Anzahl von 3 Fehl-Logins pro IP realisieren. Über iptables geht das ja bei vservern leider nicht, deshalb habe ich versucht diese Funktionalität über das PAM Modul, dass von Courier verwendet wird, zu realisieren:
Code:
/etc/courier/authdaemonrc
authmodulelist="authpam"Leider kann man PAM wohl nicht dazu bewegen /etc/hosts.deny zu verwenden, das von Fail2Ban bereits zwecks absicherung des ssh-Dienstes befüllt wird.
Ich habe dann das Modul pam_access entdeckt, dass das Blocken einzelner IPs und auch IP-Ranges unterstützt. Also habe ich dieses unter in die POP3 Config eingebunden:
Code:
/etc/pam.d/pop3
account required pam_access.soUnd ein automatisches Befüllen der /etc/security/access.conf durch Fail2Ban eingerichtet. Dazu habe ich der entsprechenden Fail2Ban Config im Verzeichnis :/etc/fail2ban/action.d folgenden Inhalt hinzugefügt:
Code:
actionban = &&
printf %%b "- : ALL : $IP\n" >> /etc/security/access.conf
actionunban = &&
sed -i.old /- : ALL : $IP/d /etc/security/access.confLeider erhalte ich nun in der auth.log folgende Fehlermeldung:
Code:
authdaemond: pam_access(pop3:account): cannot determine tty or remote hostname, using service pop3Das Modul pam_access kriegt also scheinbar die IP-Adresse nicht vom Courier-Pop überreicht und kann dementsprechend auch keinen Abgleich mit den Einträgen machen.
Ich arbeite jetzt schon lange an dieser Problematik und finde leider nichts dazu. Weiß jemand wie man den POP3 Dienst von Courier dazu bringt dem pam_access Modul die IP-Adresse des Einloggenden mitzuteilen? Oder eventuell eine andere Möglichkeit eine maximale Anzahl von 3 Fehl-Logins pro IP realisieren?
Viele Grüße
Michael
Last edited by a moderator: