Van egy Zimbra szerverem. Napokban próbálkoznak belépni egyes accountok-ra, ami azt eredményezi, hogy pár (5) próbálkozás után az acc. zárolásra kerül.
Kíváncsi lennék honnan jön az áldás. Viszont nem találom logban sehol, hogy milyen IP-ről próbálkoznának.
Az is jó lenne ha az IP-t tiltaná és nem a felhasználót. Erre sem találtam megoldást.
Akár az IP kiderítése is érdekel és akár az "értelmesebb" beállítása is a szervernek.
- 1058 megtekintés
Hozzászólások
Audit.log? Ha ott csak a proxy ipt látod akkor: zmlocalconfig zimbra_http_originating_ip_header
zimbra_http_originating_ip_header = X-Forwarded-For
Ip alapú kitiltáshoz kéne a gépre egy tűzfal és egy fail2ban, vagy hasonló eszköz.
- A hozzászóláshoz be kell jelentkezni
Az látom benne, hogy az "account lockout", de értelmes IP-t nem. Ha belépek akkor ott látom az IP-t is hogy honnan.
WARN [qtp509886383-879:https://172.16.0.12:7071/service/admin/soap/] [name=xyz@abc.hu;ip=172.16.0.12;] security - cmd=Auth; account=xyz@abc.hu; protocol=soap; error=authentication failed for [info@abc.hu], account lockout;
Így néz ki a kizárás sora
Tűzfal mögött van a szerver, szóval a kizárás megoldható, ha tudok IP-ket.
szerk.:
A beállítás, amit kértél már úgy volt ahogy kérted. Amikor sikerül belépni akkor látszik is IP.
- A hozzászóláshoz be kell jelentkezni
Közben megtaláltam a megoldást.
cat /var/log/zimbra.log | grep failed | grep authItt már látható az IP. Más innen szedi az infót a fail2ban-nak.
- A hozzászóláshoz be kell jelentkezni
Szerintem a Zimbra egyik legnagyobb hülyesége az, hogy ha valakinek piszkálják a fiókját, akkor zárolja azt. Tök jól ki lehet szúrni a kollégákkal. Párszor elírom a nevükben és _őket_, jobban mondva a fiókjukat bannolja, ahelyett, hogy az én IP-met tíltaná ki egy hétre.
Ki lehet kapcsolni ezt a funkciót?
- A hozzászóláshoz be kell jelentkezni
Nálam ki volt kapcsolva alapból. (Fiókonként is állítható, hány próbálkozás, mennyi időn belül, stb...) Felnyomták az egyik fiókot, azon keresztül pedig sok spam ment ki. Vagyis annyira nem sok, mert letiltotta azt a fiókot, a sok küldés miatt.
Valószínű a végső megoldás az lesz, hogy a próbálkozó címe be fog kerülni a tűzfal listájába. Biztos van pl. fail2ban leírás is ehhez a megoldáshoz.
- A hozzászóláshoz be kell jelentkezni
Ez egy biztonsági opció, a kizárás lehet átmeneti időre szóló és akár ki is lehet kapcsolni. Nem nevezném hülyeségnek. Hamar kiderül ám, hogy ki szórakozik a kollégákkal ;) Fentebb írtam, hogy ha egyéni IP tiltás kell arra ott a fail2ban.
- A hozzászóláshoz be kell jelentkezni
Ilyen módon, pláne ha adott IP-t nem tudsz személyhez kötni, simán DoS-olható a rendszer.
- A hozzászóláshoz be kell jelentkezni
Azért nem olyan simán. Még bejelentkezet felhasználó sem tudja elárasztani kérésekkel a szervert. Ha egy postaládát egyszerre többen szeretnének használni akkor már érdemes módosítani DoS limiteket. Azaz van DoS elleni védelem. Nyilván amit lehet azt érdemes már tűzfalból tiltani, legyen az az első védelmi vonal.
- A hozzászóláshoz be kell jelentkezni
Arra céloztam, hogy valaki csinál egy ciklust, amivel minden ismert usernévvel megpróbál n-szer hibásan bejelentkezni, és az n hibás login után kitilt hatására a felhasználók azt érzékelik, hogy nem lehet használni a rendszert.
- A hozzászóláshoz be kell jelentkezni