Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Firewall CSF - wyłączenie autoblokowania IP


Rekomendowane odpowiedzi

Opublikowano

Witam wszystkich.

Mam zainstalowany firewall CSF i w momencie gdy user ma w firmie np 1 komputer z błędnie wpisanym hasłem to programu pocztowego to po iluś nieudanych próbach IP jest blokowane.

Opcje DENY_IP_LIMIT , DENY_TEMP_IP_LIMIT określają ile numerów IP ma być przechwoywanych w blokadzie. 

 

Nie mogę znaleźć w pliku konfiguracyjnym  opcji gdzie można wyłączyć to blokowanie.

 

Ed

Opublikowano

Tym zajmuje się LFD

 

Cytuj

# Enable login failure detection daemon (lfd). If set to 0 none of the
# following settings will have any effect as the daemon won't start.
LF_DAEMON = "1"

 

 

  • Lubię 2
  • 4 tygodnie później...
Opublikowano (edytowane)

Nie polecam takiego rozwiązanie ponieważ całkowicie wyłącza jakąkolwiek ochronę przed atakami brute force. Zwłaszcza potrzebną przy serwerach pocztowych, gdyż konsekwencje w przypadku przejęcia konta email i użycia do wysłania masy spamu są dość daleko idące zwłaszcza jeśli adres serwera wyląduje na listach antyspamowych.

 

CSF domyślnie blokuje dopiero 5ciu nieudanych próbach jeśli dobrze pamiętam więc prolemem raczej nie jest blokowanie adresu IP po tylu nieudanych próbach logowania 🙂 Warto też dodać, że adres IP jest blokowany tylko tymczasowo.

 

Opcje DENY_IP_LIMIT zwiększają tylko ilośc tymczasowych adresów IP jakie może trzymać zbanowane na raz. 

 

Można dodać dany adresu IP to white listy /etc/csf/csf.allow, może być z tym problem w przypadky gdy dany adres IP często się zmienia i otwiera dostęp do wszystkich portów serwera z danego IP co nie powinno być większym problemem będąc zaufanym zródłem skro jest dodawany do whitelisty

 

Można też zwiększyć ilość nieudanych prób logowań przed zblokowaniem adresu IP w /etc/csf/csf.conf LF_POP3D itd.. w zależności od usługi można to ustawić niezależnie dla różnych usług, 3 nieudane dla ssh, 10 dla pop3 czy imap etc...

 

Edytowane przez Skyline Servers

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.