dovecotの辞書攻撃ですが、この2、3日止まっています。SSH、FTPのポートはルータ側で遮断(localでしか使用しないので)動作しているのはhttpd,pop,smtp関係のポートのみなので、この開いているポートに対して攻撃を受けた場合の設定をしました。(httpdは除外)
まずは、/etc/fail2ban/jail.confに下記を最終行に追加
[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port=”pop3″, protocol=tcp]
sendmail-whois[name=dovecot, dest=***@mini2.luna.ddns.vc]
logpath = /var/log/secure
maxretry = 3
※3回認証エラーを起こすと、そのIPを遮断するようになっています。遮断情報はdestで指定したメールに届きます。自分の場合にはimapは使用していないのでポートはpop3のみ指定してあります。
次に/etc/fail2ban/filter.dの中ににdovecot-pop3imap.confという新しいファイルを作ります。コマンドはvi /etc/fail2ban/filter.d/dovecot-pop3imap.conf
[Definition]
failregex = pam.*dovecot.*(?:authentication failure).*rhost=(?:::f{4,6}:)?(?P
ignoreregex =
以上、追加が終了したらfail2banを再起動します。
/etc/rc.d/init.d/fail2ban restart(初めて起動する場合はrestartをstartに変更)
この後、メール確認、指定したメールアドレスにfail2banからサービスを停止して開始したという旨のメールが届いているはずです。
これでdovecotがどうなるか?後ほど結果をご報告します。