どうにもアタックして来るバカが気になって仕方がない。
辞書アタックしてくるバカは退治できていたのだが、
ログインユーザーなしでアタックしてくるバカは対応できていなかった。
こんな感じでユーザーなしでアタックして来る。
発信元は中国、というか香港だ。
ユーザーなしなので、アタックしても何もできないはずだが、
どうしても我慢できなくて対策した。
fail2banというソフトを使って設定するのだが、
標準ではdovecot.confで辞書アタックは対策できている。
ログインユーザーなしでのアタックは、自分で対策ルールを追加しなくてはいけない。
これがなかなかうまくいかず、どうしてもだめだった。
dovecot.confをじっくりと見ていると、よさげな記述がある。
上の画像の先頭にある、"mode-agressive = ^(?:Aborted login・・・"
これを使えばいいのか、と思ってよくよく読んでみると
「mode = normal」 を 「mode = agressive」 に変更してやればいいだけだった。
一晩たって様子を見る。
数は少ないが、馬鹿どもが引っかかってきた。
これでばっちりだ。
長年の懸念が晴れてせいせいした。
コメントする