fail2ban postfix

Bota, bota, bota con los bots! y corre detrás de las máquinas que se caen fritas por ataques.

Pues esto es lo que me ha pasado estos últimos días con el server zimbra que tengo montado. Algún bot animalito ha empezado a mandar mails a cascaporro a la pobrecita máquina dejándomela frita, frita y frita. El ataque era tan bestia que no me aguantaba levantada mas de media hora.

Así que hemos buscado una solución que de momento me está dejando bastante convencida, fail2ban.

Me estaba mirando reglas de iptables para bloquear directamente el bot, pero este venía de muchas ubicaciones y cuando he empezado a estar cubierta de líneas de iptables he dicho basta y pedido ayuda y me han comentado la posibilidad de usar fail2ban y en menos de 5 minutos lo he tenido instalado y comiéndose todos los ataques! :D la maquina ya lleva mas de una hora levantada y va aguantando!

Su instalación:

# apt-get install fail2ban

Configuración:

# cd /etc/fail2ban/
# cp jail.conf jail.local

Modificamos algunas líneas de jail.local

[DEFAULT]

ignoreip = 127.0.0.1/8 10.0.0.0/8
bantime  = 86400
maxretry = 5

Con ignoreip definimos de qué ips no tiene que preocuparse, le decimos las locales y todas las que vengan de guifi.
Con bantime, el tiempo que vamos a banear la ip
maxretry, el numero de intentos fallidos que intenta la ip acceder a nuestro sistema sin éxito

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

Podemos configurar los intentos de ssh, yo lo he dejado exactamente igual

[postfix]

enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log

Y el que nos interesa para paliar este ataque, postfix, que ponemos false a true.

Lo siguiente es reiniciar el servicio fail2ban

# /etc/init.d/fail2ban restart

Si nos fijamos en el mismo fichero de configuración, tenemos protección para otros servicios. En filter.d tenemos las regex (regular expresion) que queremos que detecte como intentos fallidos de acceso al sistema.

Y a otra cosa mariposa! :)