Firewall CSF - wyłączenie autoblokowania IP

[ednet]

Witam wszystkich.

Mam zainstalowany firewall CSF i w momencie gdy user ma w firmie np 1 komputer z błędnie wpisanym hasłem to programu pocztowego to po iluś nieudanych próbach IP jest blokowane.

Opcje DENY_IP_LIMIT , DENY_TEMP_IP_LIMIT określają ile numerów IP ma być przechwoywanych w blokadzie. 

 

Nie mogę znaleźć w pliku konfiguracyjnym  opcji gdzie można wyłączyć to blokowanie.

 

Ed

[Spoofy]

Po prostu wyłącz LFD 

Edytowane 11 Września 2018 przez Spoofy

[oui]

Tym zajmuje się LFD

 

Cytuj

# Enable login failure detection daemon (lfd). If set to 0 none of the
# following settings will have any effect as the daemon won't start.
LF_DAEMON = "1"

 

 

[ednet]

O to chodziło , dzięki !!

 

Ed

 

[Skyline Servers]

Nie polecam takiego rozwiązanie ponieważ całkowicie wyłącza jakąkolwiek ochronę przed atakami brute force. Zwłaszcza potrzebną przy serwerach pocztowych, gdyż konsekwencje w przypadku przejęcia konta email i użycia do wysłania masy spamu są dość daleko idące zwłaszcza jeśli adres serwera wyląduje na listach antyspamowych.

 

CSF domyślnie blokuje dopiero 5ciu nieudanych próbach jeśli dobrze pamiętam więc prolemem raczej nie jest blokowanie adresu IP po tylu nieudanych próbach logowania  Warto też dodać, że adres IP jest blokowany tylko tymczasowo.

 

Opcje DENY_IP_LIMIT zwiększają tylko ilośc tymczasowych adresów IP jakie może trzymać zbanowane na raz. 

 

Można dodać dany adresu IP to white listy /etc/csf/csf.allow, może być z tym problem w przypadky gdy dany adres IP często się zmienia i otwiera dostęp do wszystkich portów serwera z danego IP co nie powinno być większym problemem będąc zaufanym zródłem skro jest dodawany do whitelisty

 

Można też zwiększyć ilość nieudanych prób logowań przed zblokowaniem adresu IP w /etc/csf/csf.conf LF_POP3D itd.. w zależności od usługi można to ustawić niezależnie dla różnych usług, 3 nieudane dla ssh, 10 dla pop3 czy imap etc...

 

Edytowane 3 Października 2018 przez Skyline Servers

[behemoth]

Można też skrócić czas blokowania adresu ip.