ちょっと前にmaillogを見てpopが辞書攻撃されている事に気が付きました。多いときで一日で200回ほど、少ない時でも50回ほど色々な名前で認証をかけてきています。一度も認証されていませんが、logがだらだらと長くなり見ずらいこと。
iptablesのフィルターをかけていますが、処置が後々になるので何か良い方法はないかとネットで調べていたらありました。
fail2banというソフトでサービス毎にフィルターがかけられ、異常な認証があった場合にはlogからチェックをして一定期間、そのipを止めたり出来る機能があります。今日のところはインストールまでですが、週末にはpopとsmtpのフィルター設定をします。
SSHとFTPのポートは外部からは遮断しました。・・local環境からしか操作しませんので。また、外部サイトで中継テストを行ってみましたが大丈夫という結果でした。
しかし、こんな小さなサーバーまで攻撃するような意味何かあるんでしょうかねぇ。ネットで調べると結構popとsmtpは辞書攻撃、DoS攻撃されています。利用されなくても負荷がかかりサービスがダウンするという事になります。
やってみると色んな事ありますね~