Параметры - репозиторий
или - root
могут работать как альтернатива параметру - p
в SLES11.
-r, --repository REPOSITORY
change password in REPOSITORY repository
-R, --root CHROOT_DIR
Apply changes in the CHROOT_DIR directory and use the configuration
files from the CHROOT_DIR directory.
Сеанс здесь разделен между агентом транспорта почты, а такжеsaslauthd
:
testhost saslauthd[17177]: do_auth : auth failure:
[user=AzureDiamond] [service=smtp] [realm=] [mech=pam]
[reason=PAM auth error]
Полный журнал того, что вам нужно, может быть недоступен по умолчанию или потребует реконструкции в какой-либо службе агрегирования журналов. (Журналирование в Postfix также плохое при использовании saslauthd
; некоторые из журналов попадают в почтовые журналы, а другие - в другие места. )Sendmail поддерживает настраиваемые правила системного журнала; однако, если клиент выдает только EHLO nurse
, AUTH LOGIN
, QXp1cmVEaWFtb25k
, SHVudGVyMg==
, а затем терпит неудачу (с quit
или просто сбрасывает соединение ), что может не дать ни одного из обычных набор правил перехватывает шанс запуска.
Когда значение LogLevel
установлено на 11 (или выше ), в журнале возникает ошибка, которая не включает адрес реле:
testhost sendmail[20684]: wA6KuRRJ020684: AUTH failure
(LOGIN): authentication failure (-13) SASL(-13):
authentication failure: checkpass failed,
relay=localhost [127.0.0.1]
Это происходит от sendmail/srvrsmtp.c
и происходит, когда LogLevel > 9
. Или вы можете исправить этот файл, чтобы избежать увеличения LogLevel
, но это может привести к другим проблемам.
Ниже приведены другие способы ограничения SMTP AUTH.
Настройте конфигурацию PAM и запретите SMTP AUTH
, если пользователь не принадлежит к определенной группе; это предотвратит большинство атак с подбором пароля, хотя это жизнеспособно, если только небольшое и предсказуемое подмножество ваших пользователей должно использоватьSMTP AUTH
:
account required pam_access.so accessfile=/etc/security/smtp_access.conf
, а затем в/etc/security/smtp_access.conf
+ : ok-sasl : ALL
- : ALL : ALL
, а затем поместите пользователей в группу ok-sasl
.
Другим вариантом может быть установка VPN или чего-то подобного перед SMTP, чтобы эта служба была просто недоступна для Интернета; это должно снизить уровень шума от бревен, -который в наши дни поступает в общественные -службы.
Я также пытался pam_tally2
, но это было очень хорошо для блокировки учетных записей, включая законные учетные записи, которые вошли в систему без каких-либо явных ошибок... может быть, это сработает лучше для вас?
У меня есть решение, которое немного помогает. Сообщения, которые вы перечисляете, выглядят так же, как те, которые приходят из /var/log/secure (, по крайней мере, на RedHat/Centos ).
Как вы заметили, IP-адреса отсутствуют, поэтому с этими записями вы мало что можете сделать.
Однако загляните в /var/log/maillog, и вы найдете записи вида:
Apr 11 13:58:48 alpha sendmail[23712]: x3BKwjij023712: [118.24.45.165] did not issue MAIL/EXPN/VRFY/ETRN during connection to MSA
Это соединения, которые пытаются выполнить AUTH (или два раза ), терпят неудачу и отключаются. Существует почти 100% корреляция между этими сообщениями и сообщениями pam в /var/log/secure.
Я использую их в качестве входных данных для джейла fail2ban. Однократное появление приводит к бану, потому что многие автоматизированные системы используют адресное пространство полного класса C (или /24, если вы предпочитаете адресное пространство ), и проходит довольно много времени, прежде чем вы снова увидите этот адрес.
В настоящее время кто-то/что-то использует ботнет с разбросанными повсюду IP-адресами. Кажется, что они повторяются только через несколько дней, иногда никогда. В итоге вы получите МНОГО записей fail2ban. Но это лучше, чем ничего не делать.
К сожалению, ответ, похоже, заключается в том, что с помощью sendmail и cyrus -sasl нет никакого контроля. Sendmail, похоже, отправляет информацию на sasl, и cyrus -sasl ничего с ней не делает, и точно так же sendmail ничего не делает после сбоя аутентификации.
Приведенные выше ответы Трига могут оказаться полезными для других, и, возможно, однажды кто-нибудь увидит это и даст лучший ответ.