我在托管 Web 和邮件服务器的 Debian 服务器上使用默认的 fail2ban 配置进行 ssh 连接尝试。
我已经从默认的 ssh 端口切换了,而且事情已经很久了。我的服务器似乎被一些控制机器人网络的黑客发现了。几天来,在这个辅助端口上,我突然受到数百次连接尝试的困扰。
大多数这些连接尝试都会尝试无效的用户名。他们不可能参与其中,但我宁愿让他们远离。
我无法安装端口敲击,因为我使用 ansible 自动配置服务器。我不知道如何将两者结合起来。
一个中间解决方案是通过使用错误用户名的 ssh 连接尝试来使 fail2ban 更受惩罚。因为我使用 ssh/config,所以我的用户名永远不会出错,如果需要,我可以随时连接我的手机,其中也注册了用户名。这对鸽舍也很好。
如果由于用户名无效而导致连接失败,是否可以将fail2ban配置为长时间监禁IP?
我正在运行 Debian 10 (Buster)。Fail2ban 是 0.10.2 版本。SSH 是 7.9p1 版本。
我有一个带有 posfix、amavis 和 spamassassin 的 Debian 10 服务器。
我管理的另一台服务器每天都会发送一封邮件,其中不包含任何内容,只有一个 gif 作为附件。我已将 spamassassin 的 local.cf 中的发件人地址列入白名单。
收到的邮件的标头包含以下内容:
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on ~~~.~~~.net
X-Spam-Level:
X-Spam-Status: No, score=-93.2 required=5.0 tests=ALL_TRUSTED,BAYES_50,
DC_GIF_UNO_LARGO,DC_IMAGE_SPAM_TEXT,MISSING_HEADERS,PYZOR_CHECK,
SB_GIF_AND_NO_URIS,TVD_SPACE_RATIO,USER_IN_WHITELIST autolearn=no
autolearn_force=no version=3.4.2
这表示邮件不被视为垃圾邮件,因为发件人地址在白名单中。
问题是主题字段包含[SPAM]哪个是垃圾邮件标记。这个垃圾邮件标记在我的 spamassassin local.cf 和 amavis 中定义。我还不知道两者中的哪一个正在添加此垃圾邮件标记。
根据amavis的配置,不应该放垃圾标签,因为我在配置里有这个
$sa_tag2_level_deflt = 5.0; #add spam tag to subject for score greater than this value
$sa_spam_subject_tag = '[SPAM]';
如我们所见,分数较低。amavis 不应添加此垃圾邮件标签。
那么如何在主题行中获取垃圾邮件标签?
我确定问题出在我的邮件服务器上,因为当我将该邮件发送到另一个地址时,我没有收到垃圾邮件标签。
另一个奇怪的事情是,当我从桌面发送具有相同发件人地址的完全相同的邮件时,它没有收到垃圾邮件标签。
编辑:我有另外两封邮件的 amavis 行为不一致。
通过一封邮件,我有这个:
Received: from localhost by xxx.xxx.net
with SpamAssassin (version 3.4.2);
Wed, 11 Nov 2020 17:08:01 +0100
From: huixin0010 <[email protected]>
Subject: [*SPAM*] [~SPAM~]Re: Leather bags manufacturer with 14 years experience
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on xxx.xxx.net
X-Spam-Flag: YES
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.3 required=5.0 tests=BAYES_50,DEAR_SOMETHING,
FREEMAIL_FORGED_FROMDOMAIN,FREEMAIL_FROM,HEADER_FROM_DIFFERENT_DOMAINS,
HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,PYZOR_CHECK,
RCVD_IN_MSPIKE_BL,RCVD_IN_MSPIKE_L5,RDNS_NONE,T_SPF_HELO_PERMERROR
autolearn=no autolearn_force=no version=3.4.2
[*SPAM*]spamassassin 添加[~SPAM~]的垃圾邮件标签和 amavis 添加的垃圾邮件标签在哪里。
规则设置为 amavis 在分数高于 5 时添加垃圾邮件标签。
出乎意料的是下面这封邮件,即使分数高于 5,amavis 也没有在主题中添加垃圾邮件标签。
Received: from localhost by xxx.xxx.net
with SpamAssassin (version 3.4.2);
Wed, 11 Nov 2020 18:08:24 +0100
From: liyulan029 <[email protected]>
To: xxx <[email protected]>
Subject: [*SPAM*] Re: new design eyeglasses frame and sunglasses
Date: Thu, 12 Nov 2020 01:10:33 +0800 (CST)
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on xxx.xxx.net
X-Spam-Flag: YES
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.2 required=5.0 tests=BAYES_50,DEAR_SOMETHING,
FREEMAIL_FORGED_FROMDOMAIN,FREEMAIL_FROM,HEADER_FROM_DIFFERENT_DOMAINS,
HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,RCVD_IN_RP_RNBL,
RDNS_NONE autolearn=no autolearn_force=no version=3.4.2
这两个邮件之间的服务器上没有任何变化。
我有一个 php nginx 网站,我为其定义了默认位置。这很好用,只是我无法返回 favicon.ico。favicon.ico 文件存储在根目录的根目录下。
我目前有这个:
位置 / { error_page 404 = @pmwiki; log_not_found 关闭;}
位置 = /robots.txt { access_log off; log_not_found 关闭;}
位置 @pmwiki { 重写 ^/(.*)$ /?n=$1 最后;}
位置 ~ ^/(cookbook|local|scripts|wiki.d|wikilib.d) { 全部拒绝;}
位置 ^~ /docs { 自动索引开启;类型 { 文本/纯 php; } }
位置 ~ \.php$ { 。. . }
位置〜/ \。{全部拒绝;}
我需要添加以下内容,但不知道用什么代替问号。
位置 = /favicon.ico { ???? }
我想更新和简化我的域的 SPF 记录。不幸的是,http://www.openspf.org/SPF_Record_Syntax不清楚。
我的域使用一个 MX 中继进行接收和发送。SPF 规则就这么简单v=spf1 mx -all。这将禁止从任何其他来源发送邮件。
我遇到的问题是一个用户使用它的提供者(belgacom.be)进行外发邮件中继。提供者当前的 SPF 规则如下:v=spf1 mx include:ispmail.spf.secure-mail.be include:bgc.spf.secure-mail.be include:bgcpartners.spf.secure-mail.be ~all
我很想将我的 SPF 规则定义为v=spf1 mx include:belgacom.be -all,但不清楚~all包含的 SPF 规则中的 SPF 规则会做什么。belgacom.be 的规则包含的规则也有一个~all. 包含的规则中的会~all被视为匹配并且我-all会被忽略吗?
编辑:找到测试工具http://www.kitterman.com/spf/validate.html。通过添加include:belgacom.be我得到Permanent Error SPF Permanent Error: Too many DNS lookups. 包含的问题~all仍然悬而未决。
我有一个邮件服务器,我需要为其创建 AAAA DNS 记录并更新 SPF 记录以包含其 IPv6 地址。
ifconfig命令显示 Scope:Link IPv6 地址和 Scope:Global IPv6 地址。我应该在 AAAA 和 SPF 记录中填写哪一项?
Scope:Global 是 /128 地址,scope:Link 是 /64。
Scope:Link 地址是一个 FE80 地址,这意味着不可路由。这是否意味着我必须放置 Scope:Global 地址?
我有一个空磁盘安装为 /data
df -h 显示使用了 188M,而 du -h 显示使用了 4,0K。
root@marc:~# du -h --max-depth=1 /data
4,0K /data
root@marc:~# df -h
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
/dev/sdb1 910G 117G 747G 14% /
udev 3,9G 8,0K 3,9G 1% /dev
tmpfs 1,6G 808K 1,6G 1% /run
none 5,0M 0 5,0M 0% /run/lock
none 3,9G 164K 3,9G 1% /run/shm
AFS 8,6G 0 8,6G 0% /afs
/dev/sdc1 230G 197G 21G 91% /backup
/dev/sda1 230G 188M 218G 1% /data
我正计划重新格式化磁盘以便在其上安装新系统,但我想知道这些 188M 是什么。
/dev/sda1 被格式化为 ext4 分区。这可能是我可以安全擦除的 ext4 特定信息吗?
我按照http://www.postfix.org/SASL_README.html#server_dovecot_comm说明中的说明配置了 postfix 和 dovecot以激活 sasl 身份验证。
不幸的是,postfix 拒绝所有连接,并在日志中显示以下错误
postfix/smtpd[5238]: fatal: no SASL authentication mechanisms
我正在使用 Ubuntu LTS 10.04。
谷歌搜索我看到很多人报告这个模糊的错误而没有描述一个明确的诊断。目前尚不清楚问题是出在 dovecot 端还是 postfix 端。
更新:使用postconf获得的 postfix sasl 配置| grep -e "^smtpd.*sasl"
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_client_access hash:/etc/postfix/access,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client korea.services.net
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_exceptions_networks =
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = dovecot
当尝试连接telnet localhost 25时,连接会立即关闭并显示上述消息。注释掉smtpd_sasl_auth_enable = yes禁用 sasl 并且连接正常完成。
使用dovecot -n获得的 Dovecot 配置
# 1.2.9: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-41-generic i686 Ubuntu 10.04.4 LTS
log_timestamp: %Y-%m-%d %H:%M:%S
protocols: imaps
ssl_cert_file: /home/xxxx/cacert/xxxx.net/server.crt
ssl_key_file: /home/xxxx/cacert/xxxx.net/server.key
verbose_ssl: yes
login_dir: /var/run/dovecot/login
login_executable: /usr/lib/dovecot/imap-login
mail_privileged_group: mail
mail_location: maildir:~/Maildir
mbox_write_locks: fcntl dotlock
auth default:
mechanisms: plain login
passdb:
driver: pam
userdb:
driver: passwd
socket:
type: listen
client:
path: /var/spool/postfix/private/auth
mode: 432
user: postfix
group: postfix
用 xxxx 隐藏的真实值
root@xxxx:/etc/postfix# stat /var/spool/postfix/private/auth
File: «/var/spool/postfix/private/auth»
Size: 0 Blocks: 0 IO Block: 4096 socket
Device: 801h/2049d Inode: 6817165 Links: 1
Access: (0660/srw-rw----) Uid: ( 111/ postfix) Gid: ( 120/ postfix)
Access: 2012-08-10 16:47:06.000000000 +0200
Modify: 2012-08-10 16:46:09.000000000 +0200
Change: 2012-08-10 16:46:09.000000000 +0200
更新:如果我将smtpd_tls_auth_only = no更改为smtpd_tls_auth_only = yes ,错误将被删除。现在我可以从远程主机接收邮件到本地邮箱了。
我必须配置我的 MUA 以连接 STARTTLS 才能连接。如果我尝试使用 SSL/TLS 连接,连接将挂起。使用 STARTTLS,连接已建立,但由于是匿名的,因此邮件中继被拒绝,这正是我想要启用的。这是我在系统日志中看到的。
postfix/smtpd[7715]: connect from unknown[192.168.2.17]
postfix/smtpd[7715]: setting up TLS connection from unknown[192.168.2.17]
postfix/smtpd[7715]: Anonymous TLS connection established from unknown[192.168.2.17]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
尝试通过 postfix 服务器中继邮件时更新dovecot auth_debug 输出。这可能是后缀配置问题。
postfix/smtpd[8186]: connect from unknown[192.168.2.17]
postfix/smtpd[8186]: setting up TLS connection from unknown[192.168.2.17]
postfix/smtpd[8186]: Anonymous TLS connection established from unknown[192.168.2.17]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
dovecot: auth(default): new auth connection: pid=8186
dovecot: auth(default): client in: AUTH#0111#011PLAIN#011service=smtp#011nologin#011lip=192.168.2.3#011rip=192.168.2.17#011secured#011resp=<hidden>
home dovecot: auth-worker(default): pam(yyyy,192.168.2.17): lookup service=dovecot
home dovecot: auth-worker(default): pam(yyyy,192.168.2.17): #1/1 style=1 msg=Password:
home dovecot: auth(default): client out: OK#0111#011user=yyyy
postfix/smtpd[8186]: NOQUEUE: reject: RCPT from unknown[192.168.2.17]: 554 5.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<[192.168.2.17]>
postfix/smtpd[8186]: disconnect from unknown[192.168.2.17]
这意味着 postfix 与 dovecot 正确通信,我假设身份验证有效,因为 dovecot 在其事务结束时返回 Ok。
发送到本地帐户有效,我的 MUA 按预期使用 TLS。因此,剩下的唯一问题是允许经过身份验证的用户进行中继。我以为
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination
阅读后缀文档后就足够了。
解决方案:注释掉 smtpd_sender_restriction 参数中继是可能的。我是通过一个一个地注释掉可疑的论点找到的。我不知道是什么阻止了其中的邮件中继。
smtpd_sender_restrictions =
permit_mynetworks,
reject_sender_login_mismatch,
reject_unauth_destination,
reject_unauth_pipelining,
reject_unknown_sender_domain
regexp:/etc/postfix/forbid_from
我有一个脚本可以在晚上 11 点(23:00)之后自动阻止互联网访问,并在早上 6 点(06:00)恢复它。该脚本在 iptables 中添加和删除一些删除规则。
不幸的是,过滤规则是指 IP 地址。由于用户可以轻松地手动更改其 IP 地址,因此他可以绕过过滤器。
问题是是否可以定义过滤以太网地址的 IP 表 DROP 规则?
PS:我期待一个例子作为答案,而不是简单的是或否!;)