[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Robert Felber r.felber at ek-muc.de
Do Mai 24 20:44:56 CEST 2007 

On Thu, May 24, 2007 at 08:34:04PM +0200, Uwe Driessen wrote:
> Robert Felber schrieb: 
> > Echt?
> > 
> > setz mal folgendes als non-root ab:
> > 
> > logger -p mail.warn -t "postfix/smtpd[123]" \
> > "Connection rate limit exceeded: 50 from localhost[127.0.0.1] for sevice smtp"
> > 
> > und schau dann in dein mail.log
> > (p.s. das geht immernoch ersatzweise mit jeder scriptsprache, sogar auth.log
> > laesst sich so als non-root beschreiben)
> > 
> > 
> 
> Öhm ja und wie kommst du per SSH auf meinen Server ? Oder wie bekommst du das von außen
> hin dass das logfile so vollgeschrieben wird?
> 
> Darfste gerne Testen ich schaue mir das dann an und entwerfe ne neue Regel dazu.
> 
> Bin immer auf der Suche nach den Schlupflöchern wo denn da noch einer durchkommen könnte
> bevor die jemand anderes findet.
> 
> Kleiner Tipp SSH rennt nicht auf dem Standartport nicht das du nachher kommst und
> behauptest ich hätte SSH ausgemacht. 

Ich hatte vorher bereits erwaehnt, dass log-parsing fuer folgende Server
fragwuerdig ist:

a) der syslogd lauscht auch auf TCP

oder

b) Der Server bietet auch PHP/CGI Services an.
   In dem Moment musst du wissen, was deine User machen.
   PHP bietet logging auch im Safe Modus an. Auch an andere
   Hosts in deinem Netzwerk

oder

c) Der Server hat irgendwelche oeffentlich zugaenglichen
   PHP Scripte laufen, die zwar als non-root laufen, aber
   dennoch irgendwie dazu fuehren entweder php code auszufuehren
   oder shell code. Auch als non-root ist sowas kritisch.


Kannst du a && b && c ausschliessen und du bist der alleinige
user auf der Kiste - ok. Sobald aber endere User hinzukomme(sei es ftp, www
whatever) ist Log-Parsing KEINE adaequate Loesung mehr.

B) duerfte hier dein groesstes Problem sein.


Das Einzige was du dann voraussetzen kannst ist, dass niemand
das log file LOESCHEN kann - reinschreiben kann aber prinzipiell
JEDER user/servic als JEDER user/service.

Der SSH Zugang ist also obligatorisch bei multi-user Webservice
Anbietern.




-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users