Sziasztok Ubntura tud valaki segyteni bekonfigolni a fail2bant? Köszönöm. Tiltólistás lettem közben kiderült valamiért nem működött a fail2ban.

    mennydorges A fail2ban arra való, hogy logfájlok és szabályok alapján IP címeket blokkoljon előre meghatározott időtartamra, háttérben az iptables-el.

    Hogy függ ez össze azzal, hogy valahol tiltólistás lettél? A fail2ban a te bejövő kapcsolataidat blokkolja.

      spam támadás. tiltólistára kerültem 5 helyen.

      postfix erre lázad

      Dec  8 08:47:05 panel postfix/master[4948]: warning: process /usr/lib/postfix/sbin/smtpd pid 6715 exit status 1
Dec  8 08:47:05 panel postfix/master[4948]: warning: /usr/lib/postfix/sbin/smtpd: bad command startup -- throttling
Dec  8 08:47:05 panel postfix/smtpd[6716]: fatal: in parameter smtpd_relay_restrictions or smtpd_recipient_restrictions, specify at least one working instance of: reject_unauth_destination, defer_unauth_destination, reject, defer, defer_if_permit or check_relay_domains
Dec  8 08:47:06 panel postfix/master[4948]: warning: process /usr/lib/postfix/sbin/smtpd pid 6716 exit status 1
Dec  8 08:47:06 panel postfix/master[4948]: warning: /usr/lib/postfix/sbin/smtpd: bad command startup -- throttling

        és nem is tudok belépni a mailbe.. átírom a main.cf-t

        mennydorges Ha jól tévedek, akkor a levelező szolgáltatónál van spam szűrés. Itt tudod beállítani, hogy mit ne engedjen be. Ez nem oprendszer kérdés.

            mennydorges Ez a logrészlet nem releváns fail2ban szempontból.

            Még az sem világos számomra, hogy te kapod a spam-eket vagy a nevedben spammelnek. Mert, ha tiltólistán vagy akkor az utóbbi a valószínű.

              Nagy Gyula Rosszul tévedsz. Itt a téma nyitója maga üzemeltet egy levelező szervert.

                Dec  8 09:10:13 panel postfix/smtpd[8747]: connect from mail-yqbcan01hn2242.outbound.protection.outlook.com[52.100.222.242]
Dec  8 09:10:14 panel postfix/smtpd[8747]: NOQUEUE: reject: RCPT from mail-yqbcan01hn2242.outbound.protection.outlook.com[52.100.222.242]: 554 5.7.1 <mail-yqbcan01hn2242.outbound.protection.outlook.com[52.100.222.242]>: Client host rejected: Access denied; from=<> to=<tihanyi@vtmk.hu> proto=ESMTP helo=<CAN01-YQB-obe.outbound.protection.outlook.com>
Dec  8 09:10:14 panel postfix/smtpd[8747]: disconnect from mail-yqbcan01hn2242.outbound.protection.outlook.com[52.100.222.242] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
Dec  8 09:10:16 panel postfix/smtpd[8741]: warning: unknown[45.129.14.120]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Dec  8 09:10:17 panel postfix/smtpd[8741]: disconnect from unknown[45.129.14.120] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Dec  8 09:10:17 panel postfix/smtpd[8747]: connect from mail-cwxgbr01hn2236.outbound.protection.outlook.com[52.100.227.236]
Dec  8 09:10:17 panel postfix/smtpd[8747]: NOQUEUE: reject: RCPT from mail-cwxgbr01hn2236.outbound.protection.outlook.com[52.100.227.236]: 554 5.7.1 <mail-cwxgbr01hn2236.outbound.protection.outlook.com[52.100.227.236]>: Client host rejected: Access denied; from=<> to=<tihanyi@vtmk.hu> proto=ESMTP helo=<GBR01-CWX-obe.outbound.protection.outlook.com>

                Nagy Gyula Ezúttal majdnem jól tévedsz, de ez esetben ő maga a levelezőszolgáltató saját oldalán.
                Azért oprendszer kérdés, mert Ubuntu 18.04-en (ami sosem lesz újabb Debianra cserélve 🙁 ) fut a szervere.

                Megpróbálom vázolni a helyzetet nagy vonalakban, amennyi nekem átjött a privátokból (csak most nincs erőm belemélyedni):

                • Van egy saját levelzőszervere, amin volt a apostfix beállítva valahogy.
                • Évekkel ezelőtt be kellett volna lőni a fail2ban-t, de elmaradt
                • Amit kaptam logrészrelet, abból az jött le, hogy az egyik mailcímnek a jelszavát kitalálták, és néhány százezer(!!!!) spamot küldtek
                • Feketelistás lett a szerver (érthető módon)
                • Az Ubuntu 18.04-en a fail2ban csomag bugos, NEM LEHET működésre bírni, githubos varázslásokra van szükség, hogy a szükséges javítás bekerüljön a rendszerbe (ez elvileg megtörtént)
                • Menet közben a kapkodás miatt @mennydorges szanaszét túrta a postfix konfigját is

                Nem vagyok túl optimista az egész projektet illetően, ráadásul nekem most nincs erőm ezt végigskubizni, hogy mi a levegő ment félre és hogyan, hol? Ezért javasoltam neki, hogy hozza nyilvánosságra, hátha valakinek van kedve és türelme ehhez.
                Sajna én kimerültem egy kicsit, a tolerancia-akkujaim teljesen kisültek.

                    Szia megy minden de próbálkoznak még mindig.🙁

                    ez most a fail 2 ban a jail.local:

                    [DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 6000
findtime  = 9000
maxretry = 3

bantime.increment = true
bantime.factor = 1
#bantime.formula = ban.Time * ((ban.Count+1)*banFactor)
bantime.formula = ban.Time * math.exp(float(ban.Count+1)*banFactor)/math.exp(1*banFactor)


[ssh]

enabled  = true
port     = ssh,22
filter   = sshd
logpath  = /var/log/auth.log

[sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath = /var/log/apache*/*error.log
findtime = 3600
maxretry = 3
bantime  = 86400

[apache-overflows]
enabled = true
logpath = /var/log/apache*/*error.log

[apache-badbots]
enabled = true
logpath = /var/log/apache*/*access.log


[nginx-http-auth]
enabled  = true

[nginx-botsearch]
enabled = true

[postfix-sasl]
enabled = true
port = smtp
filter = postfix-sasl
logpath = /var/log/mail.log
maxretry = 3

[dovecot]
enabled = true
filter = dovecot
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix]
enabled  = true
port     = smtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 3

[roundcube]
enabled  = true
port     = http,https
filter   = roundcube
logpath  = /var/log/roundcube/userlogins
maxretry = 5

                    ez meg a postfix main.cf:

                    # POSTFIX(1) configuration file - auto-generated by i-MSCP
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
#
# General parameters
inet_protocols = ipv4
inet_interfaces = all
mynetworks_style = host
smtp_bind_address = 192.168.9.212
smtp_bind_address6 = 
myhostname = panel.vtmk.hu
mydomain = panel.vtmk.hu.local
myorigin = $myhostname
smtpd_banner = $myhostname ESMTP i-MSCP 1.5.3 Managed
append_dot_mydomain = no
append_at_myorigin = yes
biff = no
recipient_delimiter = +
message_size_limit = 0

# Local delivery parameters
mydestination = $myhostname localhost.$mydomain localhost $mydomain
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
local_transport = local
local_destination_concurrency_limit = 2
local_destination_recipient_limit = 1
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
mail_spool_directory = /var/mail
mailbox_size_limit = 0

# Virtual delivery parameters
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_limit = 0
virtual_mailbox_domains = hash:/etc/postfix/imscp/domains
virtual_mailbox_maps = hash:/etc/postfix/imscp/mailboxes
virtual_alias_domains =
virtual_alias_maps = hash:/etc/postfix/imscp/aliases
virtual_transport = dovecot
virtual_destination_concurrency_limit = 2
virtual_destination_recipient_limit = 1
virtual_minimum_uid = 999
virtual_uid_maps = static:999
virtual_gid_maps = static:8

# Relay parameters
relay_domains = hash:/etc/postfix/imscp/relay_domains
relay_recipient_maps =
relay_transport = relay
relayhost =

# Transport parameters
transport_maps = hash:/etc/postfix/imscp/transport

# SMTP restrictions
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, permit
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain, permit
smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unlisted_recipient, permit
smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining

# i-MSCP responder parameters
imscp-arpl_destination_concurrency_limit = 2
imscp-arpl_destination_recipient_limit = 1

# Parameters added at run-time by i-MSCP or 3rd-party components
smtpd_sasl_type = dovecot
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_auth_enable = yes
dovecot_destination_concurrency_limit = 2
dovecot_destination_recipient_limit = 1

                    klt Ezúttal majdnem jól tévedsz, de

                    Köszönöm és úgy gondolom, ez is haladás.
                    Még a wines időkben egy darabig figyeltem a gépemre való behatolási kísérleteket. Ha rémképeim nem csalnak, a védelmi (vírus őr és tűzfal) programom logfájljait néztem.
                    A Linuxhoz azt is mondták, a felépítéséből adódóan védett azoktól a disznóságoktól amiktől a Win nem.
                    Jó érzés volt amikor a gépembe dugott vírusos pendrájvról le tudtam menteni a rajta levőket, majd a pen újra konfigurálása után visszaírni.

                        Nagy Gyula A Linuxhoz azt is mondták, a felépítéséből adódóan védett azoktól a disznóságoktól amiktől a Win nem.

                        Ez így félrevezető. Minden rendszernek megvannak a saját rendszerspecifikus kártevői, amelyek ebből kifolyólag egyéb rendszerekre ártalmatlanok. (és persze van olyan kártevő is, amely OS-től függetlenül kárt tud okozni)
                        A linux valóban kevésbé támadott rendszer, kivéve a szervereket, ami érthető is, hiszen a szerverek jó részén linux fut.

                            tenkes Ez így helyes, de ha Nagy Gyula most erről akar elmélkedni, akkor most nyomban nyisson egy új témát ezzel kapcsolatban, mielőtt 500 bejegyzéses OFF lesz belőle! 🙂

                              meskobalazs a következőre módosította a címet: Fail2ban konfigurálása.

                              off helyett lehet kérni segítséget?

                              Szeritnetek most jó?

                              Dec  8 11:30:01 panel postfix/smtpd[12462]: warning: hostname 192-227-217-195-host.colocrossing.com does not resolve to address 192.227.217.195: Name or service not known
Dec  8 11:30:01 panel postfix/smtpd[12462]: connect from unknown[192.227.217.195]
Dec  8 11:30:04 panel postfix/smtpd[12462]: warning: unknown[192.227.217.195]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Dec  8 11:30:04 panel postfix/smtpd[12462]: lost connection after AUTH from unknown[192.227.217.195]
Dec  8 11:30:04 panel postfix/smtpd[12462]: disconnect from unknown[192.227.217.195] ehlo=1 auth=0/1 commands=1/2
Dec  8 11:30:09 panel postfix/smtpd[12461]: connect from cpanel21.rackforest.com[79.139.61.131]
Dec  8 11:30:09 panel postfix/smtpd[12461]: 3D52344499: client=cpanel21.rackforest.com[79.139.61.131]
Dec  8 11:30:09 panel postfix/cleanup[12746]: 3D52344499: message-id=<c7633662ac9679873205aa640e7cc649@ubuntu.hu>
Dec  8 11:30:09 panel postfix/qmgr[12389]: 3D52344499: from=<noreply@ubuntu.hu>, size=2665, nrcpt=1 (queue active)
Dec  8 11:30:09 panel postfix/smtpd[12461]: disconnect from cpanel21.rackforest.com[79.139.61.131] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Dec  8 11:30:09 panel postfix/pipe[12748]: 3D52344499: to=<gabor@vtmk.hu>, relay=dovecot, delay=0.11, delays=0.07/0.01/0/0.03, dsn=5.3.0, status=bounced (command line usage error. Command output: lda: Fatal: Unknown argument: smtp-amavis Usage: dovecot-lda [-c <config file>] [-a <address>] [-d <username>] [-p <path>]                    [-f <envelope sender>] [-m <mailbox>] [-e] [-k] )
Dec  8 11:30:09 panel postfix/cleanup[12746]: 4BD8A444A9: message-id=<20231208103009.4BD8A444A9@panel.vtmk.hu>
Dec  8 11:30:09 panel postfix/bounce[12750]: 3D52344499: sender non-delivery notification: 4BD8A444A9
Dec  8 11:30:09 panel postfix/qmgr[12389]: 4BD8A444A9: from=<>, size=4762, nrcpt=1 (queue active)
Dec  8 11:30:09 panel postfix/qmgr[12389]: 3D52344499: removed
Dec  8 11:30:16 panel postfix/smtpd[12462]: connect from mail-be0deu01hn2246.outbound.protection.outlook.com[52.100.3.246]
Dec  8 11:30:16 panel postfix/smtpd[12462]: NOQUEUE: reject: RCPT from mail-be0deu01hn2246.outbound.protection.outlook.com[52.100.3.246]: 550 5.1.1 <tihanyi@vtmk.hu>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<tihanyi@vtmk.hu> proto=ESMTP helo=<DEU01-BE0-obe.outbound.protection.outlook.com>
Dec  8 11:30:16 panel postfix/smtpd[12462]: disconnect from mail-be0deu01hn2246.outbound.protection.outlook.com[52.100.3.246] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6

                              Ez meg a
                              fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix-flood-attack.conf

                              Running tests
=============

Use   failregex filter file : postfix-flood-attack, basedir: /etc/fail2ban
Use         log file : /var/log/mail.log
Use         encoding : UTF-8


Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] lost connection after AUTH from (.*)\[<HOST>\]
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [32] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-

Lines: 32 lines, 0 ignored, 1 matched, 31 missed
[processed in 0.02 sec]

Missed line(s): too many to print.  Use --print-all-missed to print all 31 lines