Skocz do zawartości
ednet

Firewall CSF - wyłączenie autoblokowania IP

Polecane posty

Witam wszystkich.

Mam zainstalowany firewall CSF i w momencie gdy user ma w firmie np 1 komputer z błędnie wpisanym hasłem to programu pocztowego to po iluś nieudanych próbach IP jest blokowane.

Opcje DENY_IP_LIMIT , DENY_TEMP_IP_LIMIT określają ile numerów IP ma być przechwoywanych w blokadzie. 

 

Nie mogę znaleźć w pliku konfiguracyjnym  opcji gdzie można wyłączyć to blokowanie.

 

Ed

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tym zajmuje się LFD

 

Cytuj

# Enable login failure detection daemon (lfd). If set to 0 none of the
# following settings will have any effect as the daemon won't start.
LF_DAEMON = "1"

 

 

  • Lubię 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie polecam takiego rozwiązanie ponieważ całkowicie wyłącza jakąkolwiek ochronę przed atakami brute force. Zwłaszcza potrzebną przy serwerach pocztowych, gdyż konsekwencje w przypadku przejęcia konta email i użycia do wysłania masy spamu są dość daleko idące zwłaszcza jeśli adres serwera wyląduje na listach antyspamowych.

 

CSF domyślnie blokuje dopiero 5ciu nieudanych próbach jeśli dobrze pamiętam więc prolemem raczej nie jest blokowanie adresu IP po tylu nieudanych próbach logowania 🙂 Warto też dodać, że adres IP jest blokowany tylko tymczasowo.

 

Opcje DENY_IP_LIMIT zwiększają tylko ilośc tymczasowych adresów IP jakie może trzymać zbanowane na raz. 

 

Można dodać dany adresu IP to white listy /etc/csf/csf.allow, może być z tym problem w przypadky gdy dany adres IP często się zmienia i otwiera dostęp do wszystkich portów serwera z danego IP co nie powinno być większym problemem będąc zaufanym zródłem skro jest dodawany do whitelisty

 

Można też zwiększyć ilość nieudanych prób logowań przed zblokowaniem adresu IP w /etc/csf/csf.conf LF_POP3D itd.. w zależności od usługi można to ustawić niezależnie dla różnych usług, 3 nieudane dla ssh, 10 dla pop3 czy imap etc...

 

Edytowano przez Skyline Servers

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dołącz do rozmowy

Możesz pisać i zarejestrować się później. Jeśli masz konto,Zaloguj się teraz, aby publikować na swoim koncie.

Gość
Odpowiedz...

×   Wklejony jako tekst z formatowaniem.   Wklej jako zwykły tekst

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.


  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.

×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.