Le 04/11/2015 12:56, [email protected] a écrit :
On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote:
Je constate des centaines de tentatives d'authentification
sur mon serveur pop dovecot :
============
"authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=hollie rhost=173.9.136.221 : 6 Time(s)"
============
avec à chaque fois un "ruser" différent.
Comment empêcher ces tentatives ?
Sur mon serveur de messagerie, j'utilise fail2ban. Après installation,
tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi
augmenté le temps de bannissement par défaut (de 10 minutes à 10
heures). Pour cela, j'ai simplement créé un fichier
/etc/fail2ban/jail.local contenant :
---------------------------
[DEFAULT]
bantime = 36000
[dovecot]
enabled = true
---------------------------
A+ Jean-Jacques
Grand merci, j'ai fait ce que tu préconises.
Je verrai si ces login ont moindri, voire disparu ?
"/etc/fail2ban/" contient aussi "jail.conf" :
y a t-il ici une configuration à faire ?
jail.conf contient la conf de fail2ban mais les paramètres peuvent être
surchargés par ce que l'on met dans jail.local. L'intérêt de ne pas
modifier jail.conf et de pouvoir avoir les nouvelles versions de ce
fichier en cas de mise à jour du paquet.
Il reste quand même intéressant d'aller lire ce qu'il contient pour voir
quels sont les filtres livrés en standard et activables (ssh, apache,
serveurs SMTP, …)
Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur
dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des
tentatives d'accès :
On le fait via "/etc/dovecot/dovecot.conf" ?
Ben si tu as une installation standard de dovecot sous Debian, la
configuration est distribuée dans les fichiers *.conf sous
/etc/dovecot/conf.d. Pour activer le SSL/TLS, il faudra modifier le
fichier 10-ssl.conf et, surtout, générer la clé et le certificat
nécessaires au chiffrement (comme pour un serveur HTTPS). S'il y a peu
d'utilisateurs (ou qu'ils sont captifs), tu peux peut-être te contenter
d'un certificat auto-signé (ou avoir ta propre AC), sinon il faudra
passer par un certificat délivré par une autorité de certification
reconnue par les logiciels clients.
Le chiffrement de la communication permettra au moins d'éviter que les
mots de passes soient transmis en clair (il me semblait d'ailleurs que
dans la configuration par défaut sous Debian, l'envoi de mot de passe en
clair sur une liaison non chiffrée n'était pas accepté par dovecot).
A+
Jean-Jacques