denyhostsでsshd以外のアタックをブロック

denyhostsは標準だとsshのアタックのみブロックしてくれます。当然、dovecot-authなんかに来てるブルートフォースアタックはブロックしてくれないわけです。

 

しかし、denyhosts.confに以下のように追記してあげるとブロックしてくれるそうな

 
[crayon]
BLOCK_SERVICE = ALL
SSHD_FORMAT_REGEX=.* (sshd.*:|[sshd]|dovecot-auth.*:|vsftpd.*:) (?P.*)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* ruser=(?PS+) rhost=(?PS+)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P
S+)s+user=(?PS+).*
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?PS+).*
[/crayon]
最初からすでに BLOCK_SERVICEが設定してあるので、コメントアウトするなり書き直したりすることをお勧めします

これでsecureログが少し落ち着くかな


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*