Как правильно настроить fail2ban для exim?

Question

[photosho]

Кто-то проводит Ddos-атаку на сервер через exim, подбирают пароли. Лог растет так, что к вечеру бывает от 170 000 строк. В одной из соседних тем мне посоветовали установить программу "Fail2Ban" для блокировки IP злоумышленников. Вот уже почти неделю стоит эта программа, но логи все равно продолжают расти. Подскажите, может быть, что-то не так настроено? Конфигурация для exim такая:

[exim]
filter = exim_auth
port = smtp,465,imap,submission
action = iptables-multiport[name=exim,port="25,465,587"]
maxretry = 2
logpath = /var/log/exim/main.log
enabled = true
backend=polling
bantime.increment = true
protocol = tcp
bantime = 6h
findtime = 10m

Команда "status exim" выдает "Currently banned: 74". Всего забаненных за 6 дней около 900.

Answer 1

[ky0]

То, что вы называете ддосом - на самом деле почти наверняка стандартная активность ботов, трогающих открытые на весь интернет сервисы типа почтовиков, SSH, RDP и т. п.

Поскольку адресов много, и подряд они обычно долго не долбят - ваш чёрный список может наполняться бесконечно.

Comments

[photosho]

Это мешает правильной работе сервера. Как-то решается, возможно, другими способами?

[ky0]

photosho, если один и тот же адрес активно и долго долбится - разумеется, его нужно банить. Но в целом я бы на вашем месте не ждал, что в какой-то момент вы забаните всех или подавляющее большинство ботов. Если такая фоновая активность нагружает сервер - видимо, нужно думать в сторону увеличения его мощности или оптимизации настроек.

[photosho]

ky0 170 000 записей в логе за один день - подходит под критерий "фоновой активности"? Или это нормально? Я сам не знаю, поэтому спрашиваю. Лимиты хостинга не дают при таком количестве запросов отправлять письма по почте. Началось это недавно.

[ky0]

photosho, смотря что за записи. Если это попытки авторизации - какое хостингу до них дело?

Опять же - если эти 170к запросов произведены с 50 тысяч разных IP-адресов, что с ними сделаешь? Банить после 2-3 неудачных попыток ввода пароля - значит стрелять себе в ногу, потенциально запрещая доступ легитимным пользователям.

Answer 2

[Александр Фалалеев]

Увеличить надо:

findtime = 36000

И подождать где-то месяц пока bantime.increment всех в долгосрочные баны не отправит.

P.S.

В логах fail2ban проверьте работает ли "инкрементный" бан:

[exim] Increase Ban 162.142.125.41 (5 # 16 days, 0:00:00 -> 2021-10-27 09:55:31)

Что-то типа такого должно быть.