•   Login
  •  
  •   Rss
  •   Rss2.0
  •   ATOM1.0
  •   Admin
  •   Top
  •   Home

error: Compressing program wrote following message to stderr when compressing log
error: Compressing program wrote following message to stderr when compressing log /var/log/dovecot/dovecot.log-yyyymmdd:。
毎朝、たまにこう言うエラーメールが届く。

error: Compressing program wrote following message to stderr when compressing log /var/log/dovecot/dovecot.log-yyyymmdd:
gzip: stdin: file size changed while zipping


毎日ではなく、たまにこうしたメッセージが送られてくる。
それで、どうすれば良いのか考えたんだけど、何となくログファイルを圧縮するところで何かしらのエラーが出ている。と考える。

/etc/logrotate.d/dovecot
を参照
【修正前】
daily
missingok
dateext
rotate 52
sharedscripts
postrotate
/bin/kill -USR1 `cat /var/run/dovecot/master.pid 2>/dev/null` 2> /dev/null || true
endscript
compress
}

【修正後】
daily
missingok
dateext
rotate 52
sharedscripts
postrotate
/bin/kill -USR1 `cat /var/run/dovecot/master.pid 2>/dev/null` 2> /dev/null || true
endscript
delaycompress
}

これで、2週間様子を見ました。
その結果、このメッセージは出なくなりました。
めでたしめでたし(^^)


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
apt-show-versionsのメッセージ
Max. recursion depth with nested structures exceeded at /usr/local/lib/x86_64-linux-gnu/perl/5.24.1/Storable.pm line 278, at /usr/bin/apt-show-versions line 274.。
/etc/cron.daily/apt-show-versions:
Max. recursion depth with nested structures exceeded at /usr/local/lib/x86_64-linux-gnu/perl/5.24.1/Storable.pm line 278, at /usr/bin/apt-show-versions line 274.
run-parts: /etc/cron.daily/apt-show-versions exited with return code 25


先日、PHP7にバージョンアップしてから、この様なメッセージが届くようになった。
実は、PHP7へバージョンアップのついでとして、PerlモジュールCPANもそれぞれバージョンアップをしたのであった。
見ての通り、「perl/5.24.1」があるので、おわかりかと思う。

このメッセージが出たら対処は簡単だ。
Storable.pmを削除(アンインストール)してしまえば良い。

ヒントはここに書いてありました。

Bug#898090: apt-show-versions

CUIからアンインストールするのが面倒くさかったので、Webminから削除しちゃいました。
これで、メッセージは出なくなりました。ちゃんちゃん。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
clamavの不具合とアップデート
run-parts: /etc/cron.daily/freshclam exited with return code 62。
5月最後は技術的な事を書き残しておこうか。
ほぼ毎日、朝の7時30分から8時30分の間に次のようなタイトルでメールが届く。

Cron <xxxxxxxx@yyyyyyyy> test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

そして、内容はこんな感じ。
/etc/cron.daily/clamscan:
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.4 Recommended version: 0.100.0
/etc/cron.daily/freshclam:
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
ERROR: Can't open /var/log/clamav/freshclam.log in append mode (check permissions!).
run-parts: /etc/cron.daily/freshclam exited with return code 62


所見ではわからないと思うが・・・。

/etc/cron.daily/clamscan:
は、新しいバージョンがあるのでそっちを使いましょうね。
最新バージョンは、0.100.0だよ。
と言う内容。WARINING(警告)メッセージなので放置しても構わない。


/etc/cron.daily/freshclam:
は、ログファイル(/var/log/clamav/freshclam.log)のパーミッションがおかしいですよ。
いっぺん確認してみてよ。
と言うエラー。
こっちは修正する必要が有る。

まずエラー不具合の対処だが、パーミッションをいじくり回しても解決しない事が多い。
サクッとfreshclam.logを消してしまうことをお薦めする。
このログは定義ファイルを更新したときに出力されるログなので消してしまっても問題ない。
消した後で、freshclamを実行すれば新たにログが再作成されます。
過去に何度もパーミッションを変えたり、オーナーやグループを見直したが何一つ解決されませんでした。
あれこれ悩んでも仕方なし。サクッと消してしまおう!


つづいてワーニングの対処だがバージョンアップをお薦めする。
通常、Debian GNU/Linuxでは、apt-getでパッケージ化されたものをダウンロードするのだが、残念ながらstreachバージョンでは5月27日時点では更新されなかった。
もっと前からチェックしているけど、ちっともパッケージ化される見込みがなかったので、ソースをダウンロードするところから始めた。

ここで注意点
ソースをダウンロードしてインストールする場合、元パッケージと混在する可能性があるので、予めアンインストール(Purge)をしておきましょう。
aptitude purge clamav clamav-freshclam



ダウンロード元はこちら。

Source code

英語サイトだけど全く問題ない。
clamav-x.yyy.z.tar.gz(xyzにはバージョン数字が入る)をダウンロードすれば良い。
ダウンロードからインストールするまでの流れは次の通り。
青字が入力するところです。
hoge@hagehage:~# wget https://www.clamav.net/downloads/production/clamav-0.100.0.tarr.gz
--2018-05-23 11:28:59-- https://www.clamav.net/downloads/production/clamav-0.100.0.tar.gz
www.clamav.net (www.clamav.net) をDNSに問いあわせています... 104.16.187.138, 104.16.189.138, 104.16.185.138, ...
www.clamav.net (www.clamav.net)|104.16.187.138|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 302 Found
clamav-site.s3.amazonaws.com (clamav-site.s3.amazonaws.com) をDNSに問いあわせています... 52.216.229.227
clamav-site.s3.amazonaws.com (clamav-site.s3.amazonaws.com)|52.216.229.227|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 16036757 (15M) []
clamav-0.100.0.tar.gz' に保存中

2018-05-27 11:29:11 (1.76 MB/s) - `clamav-0.100.0.tar.gz' へ保存完了 [16036757/16036757]

hoge@hagehage:~# cd /tmp
hoge@hagehage:/tmp# cp /root/clamav-0.100.0.tar.gz .
hoge@hagehage:/tmp# tar vxfz clamav-0.100.0.tar.gz
clamav-0.100.0/
clamav-0.100.0/COPYING.llvm

[中略]

clamav-0.100.0/configure.ac
clamav-0.100.0/COPYING.regex
clamav-0.100.0/aclocal.m4
hoge@hagehage:/tmp# cd clamav-0.100.0/
hoge@hagehage:/tmp/clamav-0.100.0# ./configure
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking target system type... x86_64-unknown-linux-gnu
creating target.h - canonical system defines
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking whether make supports nested variables... yes
checking whether UID '0' is supported by ustar format... yes
checking whether GID '0' is supported by ustar format... yes
checking how to create a ustar tar archive... gnutar
checking whether make supports nested variables... (cached) yes
checking for style of include used by make... GNU
checking for gcc... gcc

[中略]

configure: Summary of detected features follows
OS : linux-gnu
pthreads : yes (-lpthread)
configure: Summary of miscellaneous features
check : no (auto)
fanotify : yes
fdpassing : 1
IPv6 : yes
configure: Summary of optional tools
clamdtop : (auto)
milter : yes (disabled)
clamsubmit : no (missing libjson-c-dev AND libcurl-devel. Use the website to submit FPs/FNs.) (disabled)
configure: Summary of engine performance features
release mode: yes
llvm : no (disabled)
mempool : yes
configure: Summary of engine detection features
bzip2 : ok
zlib : /usr
unrar : yes
preclass : no (missing libjson-c-dev) (disabled)
pcre : /usr
libmspack : yes (Internal)
libxml2 : no
yara : yes
fts : yes (libc)
hoge@hagehage:/tmp/clamav-0.100.0# make
make all-recursive
make[1]: ディレクトリ '/tmp/clamav-0.100.0' に入ります
Making all in libltdl
make[2]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' に入ります
make all-am
make[3]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' に入ります
CC dlopen.lo
CCLD dlopen.la
ar: `u' modifier ignored since `D' is the default (see `U')
CC libltdlc_la-preopen.lo
CC libltdlc_la-lt__alloc.lo
CC libltdlc_la-lt_dlloader.lo
CC libltdlc_la-lt_error.lo
CC libltdlc_la-ltdl.lo
CC libltdlc_la-slist.lo
CC lt__strl.lo
CCLD libltdlc.la
ar: `u' modifier ignored since `D' is the default (see `U')

[中略]

Making all in unit_tests
make[2]: ディレクトリ '/tmp/clamav-0.100.0/unit_tests' に入ります
make[2]: 'all' に対して行うべき事はありません.
make[2]: ディレクトリ '/tmp/clamav-0.100.0/unit_tests' から出ます
make[2]: ディレクトリ '/tmp/clamav-0.100.0' に入ります
make[2]: ディレクトリ '/tmp/clamav-0.100.0' から出ます
make[1]: ディレクトリ '/tmp/clamav-0.100.0' から出ます
hoge@hagehage:/tmp/clamav-0.100.0# make install
Making install in libltdl
make[1]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' に入ります
make install-am
make[2]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' に入ります
make[3]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' に入ります
make[3]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' から出ます
make[2]: ディレクトリ '/tmp/clamav-0.100.0/libltdl' から出ます

[中略]

make[2]: ディレクトリ '/tmp/clamav-0.100.0' から出ます
make[1]: ディレクトリ '/tmp/clamav-0.100.0' から出ます
hoge@hagehage:

これで終わりハズなのだが、バージョンを確認するために実行すると次のエラーが出てきた。
hoge@hagehage:~# clamscan --version
clamscan: error while loading shared libraries: libclammspack.so.0: cannot open shared object file: No such file or directory
「libclammspack.so.0」が見つからないと言っているようだ。

ちなみに定義ファイルを更新しようとすると、同じようにエラーが出た。
hoge@hagehage:~# freshclam
freshclam: error while loading shared libraries: libclammspack.so.0: cannot open shared object file: No such file or directory

これを解決するには、次のコマンドを入力すれば一発で解決する。
hoge@hagehage:~# ldconfig

もう一度、freshclamを実行すると今度はこんなエラーが出た。
ERROR: Can't open/parse the config file /usr/local/etc/freshclam.conf
定義ファイルが無いよ。と。
これは、ショートカットファイルを作ってやればOk。
hoge@hagehage:~# cd /usr/local/etc/freshclam.conf
hoge@hagehage:~# ln -s /etc/clamav/freshclam.conf
hoge@hagehage:~# ln -s /etc/clamav/clamd.conf
これで再度実行すれば、ちゃんとパスが通って完了する。


翌日、次のような内容のワーニングメールが届いた。
/etc/cron.daily/clamscan:
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.4 Recommended version: 0.100.0

どうやら、どこかにバージョンの古い奴が残っているんだな。
と言うことで検索して削除。そして、そこにショートカットファイルを置きました。

その翌日、次のような内容のメールが届いた。
run-parts: /etc/cron.daily/freshclam exited with return code 1


う~ん、1行だけなのでさっぱりわからん。
ググってみたところ、改行コードが違う~てあるくらい。
FTPでダウンロードして確認したところ、確かにCR+LFになっていた。
それをLFに変更して再アップロード。

これで、今日以降に届くメールで何も出なかったら終わりかな。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
Fail2Banがようやく機能した…か?
2018-04-18 18:19:54,400 fail2ban.actions [1278]: ERROR Failed to execute ban jail 'postfix-sasl' action 'iptables-multiport' info 'ActionInfo({'bancount': 1, 'ip-rev': '31.86.166.188.', 'family': 'inet4', 'ipmatches': 'Apr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'matches': u'Apr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '188.166.86.31', 'ipjailmatches': 'Apr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ipfailures': 6, 'F-*': {'matches': [(u'', u'Apr 18 18:18:33', u' sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6'), u'Apr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', u'Apr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6'], 'failures': 3, 'ip4': u'188.166.86.31'}, 'fid': '188.166.86.31', 'time': 1524043133.0, 'failures': 3, 'ip-host': None, 'ipjailfailures': 3, 'restored': 0, 'bantime': 3600})': Error starting action Jail('postfix-sasl')/iptables-multiport。
GWが始まったときの課題の一つに、“メールサーバーに不正にアクセスしてくる奴のIPを拒否する”を完璧にする。
を掲げていました。
相方の実家へ帰省する直前に、ようやく改善の兆しが見え、帰宅後ほぼ徹夜して試行錯誤を繰り返しました。
ようやく達成したのでその備忘録として残そうと思います。


実は、当ブログでも過去にこうした記事を書いてきました。

海外ISPに苦情を申し立て(メールサーバーへの不正アクセス)(2018/03/13 06:00:00)
Postfixで相変わらずな不正アクセスを阻止(2018/02/09 06:00:00)
Fail2banの機能不全を回避(2018/01/14 06:00:00)


成功したと思っていたのですが、実は全然成功していませんでした(^^ゞ
そもそも、こう言うログが出た時点で疑うべきでした。


2018-03-27 00:24:02,155 fail2ban.observer [1278]: INFO [postfix-sasl] Found 91.200.12.152, bad - 2018-03-27 00:24:02, 3 # -> 3, Ban
2018-03-27 00:24:02,310 fail2ban.actions [1278]: WARNING [postfix-sasl] 91.200.12.152 already banned


IPアドレスを拒否!とFail2Banがやっているのに、既に設定されています。と言うワーニングメッセージで気付けよと。
まず、iptablesのバージョンが1.6.0の時点で色々問題有りでした。


Fail2Banのサービス再起動をしたところ、づらづら~っとエラーの嵐。
2018-04-18 18:19:54,400 fail2ban.actions [1278]: ERROR Failed to execute ban jail 'postfix-sasl' action 'iptables-multiport' info 'ActionInfo({'bancount': 1, 'ip-rev': '31.86.166.188.', 'family': 'inet4', 'ipmatches': 'Apr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'matches': u'Apr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '188.166.86.31', 'ipjailmatches': 'Apr 18 18:18:33 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nApr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ipfailures': 6, 'F-*': {'matches': [(u'', u'Apr 18 18:18:33', u' sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6'), u'Apr 18 18:18:41 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', u'Apr 18 18:18:53 sir-2 postfix/smtpd[12135]: warning: unknown[188.166.86.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6'], 'failures': 3, 'ip4': u'188.166.86.31'}, 'fid': '188.166.86.31', 'time': 1524043133.0, 'failures': 3, 'ip-host': None, 'ipjailfailures': 3, 'restored': 0, 'bantime': 3600})': Error starting action Jail('postfix-sasl')/iptables-multiport
2018-04-18 18:20:54,417 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- exec: iptables -w -N f2b-sasl
iptables -w -A f2b-sasl -j RETURN
iptables -w -I INPUT -p tcp --dport smtp -j f2b-sasl
cat /etc/fail2ban/jail.d/ip.blacklist | while read IP; do iptables -I f2b-sasl 1 -s
$IP -j DROP; done
2018-04-18 18:20:54,418 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- timed out after 60 seconds.
2018-04-18 18:20:54,619 fail2ban.utils [1278]: ERROR iptables -w -N f2b-sasl
iptables -w -A f2b-sasl -j RETURN
iptables -w -I INPUT -p tcp --dport smtp -j f2b-sasl
cat /etc/fail2ban/jail.d/ip.blacklist | while read IP; do iptables -I f2b-sasl 1 -s
$IP -j DROP; done -- failed with [Errno 3] No such process
2018-04-18 18:20:54,622 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- stderr: 'iptables: Chain already exists.'
2018-04-18 18:20:54,622 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- stderr: 'iptables v1.6.0: option "-s" requires an argument'
2018-04-18 18:20:54,622 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2018-04-18 18:20:54,622 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- stderr: '/bin/sh: 5: 94.102.56.181: not found'
2018-04-18 18:20:54,622 fail2ban.utils [1278]: ERROR 7f0c1aa8ab30 -- stderr: 'iptables v1.6.0: option "-s" requires an argument'

まず、cat /etc/fail2ban/jail.d/ip.blacklist | while read IP; do iptables -I f2b-sasl 1 -s $IP -j DROP; done これの赤字部分が間違っている。$が抜けていた。
そして、iptablesでは-sのオプションはもう使えない。と。
IPv4の場合は、-4 と入れるそうだ。
でも、その後でドツボにハマり、何をやってもフィルターエラーが解決しない。
解決したと思ったら、今度は不正アクセスをキャッチしない。


試行錯誤した結果、この様に設定をしたら、全てが解決しました。

[jail.conf]


[sasl-iptables]

enabled = true
filter = postfix-sasl
port = smtp,465,submission
backend = polling
action = iptables[name=sasl, port="smtp,smtps"]
sendmail-whois[name=sasl, dest=送信者メールアドレス.sender=送信先メールアドレス]
#logpath = %(postfix_log)s
logpath = /var/log/mail.log
backend = %(postfix_backend)s



[postfix-sasl.conf]
# Fail2Ban filter for postfix authentication failures
#

[INCLUDES]

before = common.conf

[Definition]

_daemon = postfix/smtpd

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed: \w
^%(__prefix_line)swarning: hostname no-reverse-dns-configured.com does not resolve to address <HOST>?\s*$

ignoreregex =

# Author: Yaroslav Halchenko

小難しいのは省いて、シンプルな攻撃だけをフィルターにかけることにした。

[iptables.conf]
[INCLUDES]

before = iptables-common.conf

[Definition]

# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = <iptables> -N f2b-<name>
<iptables> -A f2b-<name> -j <returntype>
<iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
cat /etc/fail2ban/jail.d/ip.blacklist | while read $IP; do iptables -I f2b-<name> 1
-s
$IP -j DROP; done

# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = <iptables> -D <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
<actionflush>
<iptables> -X f2b-<name>

# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck = <iptables> -n -L <chain> | grep -q 'f2b-<name>[ \t]'

# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>
echo <ip> >> /etc/fail2ban/jail.d/ip.blacklist

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>

[Init]

-4 にすると謎のエラーになるので、再び-s に戻してやるとスッキリした。
なんでかな?


取りあえず、バンバンロックがかかっていることが、次のコマンドでハッキリした。
********@######:/var# iptables -L f2b-%%%%%%%%
Chain f2b-%%%%%%%% (1 references)
target prot opt source destination
DROP all -- mail.kwiktron.com.au anywhere
DROP all -- 71-10-113-13.dhcp.stpt.wi.charter.com anywhere
DROP all -- 178.141.251.45 anywhere
DROP all -- 103.215.211.106 anywhere
DROP all -- no-reverse-dns-configured.com anywhere
DROP all -- host3.likeithealthy.com anywhere
DROP all -- residencial-200.6.178.132.costanet.com.co anywhere
DROP all -- static-ip-1816025453.cable.net.co anywhere
DROP all -- 184.71.152.86 anywhere
DROP all -- 103.230.85.157 anywhere
DROP all -- static.vnpt.vn anywhere
DROP all -- 91.209.70.221 anywhere


あと、ログローテーションもうまく行っていなかったので修正した。
単純にファイルパスを間違えていただけで、正しく動かなかっただけだった。


それにしても、Fail2Banのフィルターの書き方が今一つ分からなかったです。
正規表現は分かったのですが、<ip>とか<HOST>なんて固有変数は、試行錯誤しないとダメでした。



記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
海外ISPに苦情を申し立て(メールサーバーへの不正アクセス)

ググっても見つからなかったので自力で解決を試みました。
昨年の12月から一部のIPアドレスにおいて、メールサーバへしつこく不正ログインを試みるヤカラがいました。
その都度、ブロックしたりしていたのですが、それでもログを見るとバンバンやってきていました。
こちらで打てる手が全部なくなったので、最終手段としてfail2banで届いたメール内容から苦情申し立てのメールアドレス(abuse@xxxxx.xxxxx)に次の内容で送りました。


-----
タイトル:Warning statement
-----
内容
A petition

The next IP address intermittently makes unauthorized access to the mail server of this site from February 2018.

94.102.50.96

I am taking measures here, but I do not have a sign to stop it.
Please take measures (stop measures) immediately there.
The attached file is a mail item that detected unauthorized access that we received so far.
-----
こんな感じです。これに、fail2banで送られて来たメールアイテムを添付し、mail.logで当該IPアドレスを引っかけて貼付して送りました。


送っても暫くは不正アクセスを試みてはいたのですが、2日後くらい見るとピタッと止まりました。
やっぱりやってみるもんだなぁ。と思います。
全ての海外ISP(プロバイダー)に通じるとは思いませんが、何もやらないよりかはマシじゃないかと思います。
もう、本当にしつこくて。
毎日、数時間おきにFail2Banのメールが届くんですよ。
もしかして、Fail2Banが機能していないんじゃないか?と思って、「Postfixで相変わらずな不正アクセスを阻止」の方法もやってみたのですが効果有りませんでした。

本来ならFail2Banで効果があるはずなのですが、どう言う訳かOSバージョンアップしてからその効果が出ていないようです。
これについては、色々調査しているのですが、断定出来る箇所が見つからないのが実情ですね。
う~ん、iptablesによるIPアドレス拒否も出来ているのになぁ。


続き▽ 記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
データベースのバックアップ for MySQL
このツールに付属している記事のバックアップ&リストア機能が全然いけてなくて、当ブログ投稿されているAckinさんの指摘で気付きました。
当サイトのブログや他に関連するツールは、基本MySQLで運用しています。
特にブログは、MySQL専用のデータベースを使っています。
ブログツールは、既に開発が終了したぶろぐんPLUSを使っています。


このツールに付属している記事のバックアップ&リストア機能が全然いけてなくて、当ブログ投稿されているAckinさんの指摘で気付きました。
これまで何度かサーバー移転をしていたのですが、この時に記事の抽出(エクスポート)と挿入(インポート)を次のようにしてきました。

1.MySQLのデータが保管されているディレクトリをまるごと圧縮し、新しいサーバーのディレクトへ解凍展開
2.ぶろぐんPLUSを使ってエクスポートしてファイルをダウンロードし、新しいサーバーへアップロードしてインポート

実は、これまでは自宅サーバーでしたので、かなりごり押し技ですが「1」をやっていました。
なので、特段問題となる事象はありませんでした。


そして2年前、自宅サーバーが壊れたのとハードウェアの維持管理が億劫になってきたことを踏まえ、知人の紹介(アドバイス)でさくらVPSを使うことにしました。
お試し期間中にあらゆるデータをアップロードしていたのですが、死ぬほど遅くて諦めて再構築をしました。
そこで、ぶろぐんPLUSの記事データを「2」の方法で展開。
すると、ぶろぐんPLUS内のリンクが無茶苦茶になってしまいました。
この指摘は、随分後になって気付いたため、既に元データを消去してしまったあとではどうすることも出来ず。
Ackinさんには申し訳なく、私も自分の記事を全てチェックして貼り直すには、膨大な数から無理であるためそのままにしています。
とは言え、不意の故障でデータ消失だけは避けねばならないので、2~3ヶ月に1度、不定期にバックアップを取っています。
そのバックアップを取る方法は、最も簡単で次の通り。

3.phpMyAdminでエクスポートしてPCにダウンロードする

ものの3分で終わります。「3」の方法は、実質「1」と似たような感じで、SQLテキスト形式になります。
万一、データベースやOSが破壊されても、エクスポートした時点にまで簡単に復旧出来ます。
恐らく、次回サーバー移転をしてもぶろぐんPLUS内のリンクが、ずれることはないはずです。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
Postfixで相変わらずな不正アクセスを阻止
Feb 8 15:59:42 sir-2 postfix/smtpd[14471]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6。
OS バージョン Debian 9「stretch」
Postfix バージョン 2.11.3


fail2banを入れてもさほど効果が出ないので、根本的にアクセス出来ないようにする方法を探ることにした。
ちょろりんとググってみると、次の方法で簡単に出来るようだ。

【main.cf】 に追加
smtpd_client_restrictions = permit_mynetworks, check_client_access hash:/etc/postfix/client_access, permit

【client_access】を作成し、次のように入力
(記入例)
137.135.42.190 REJECT
80.82.70.210 REJECT
185.222.209.14 REJECT

保存して、以下のコマンドでデータベース化
postmap /etc/postfix/client_access

最後にpostfixのサービス再起動をして終わり。


Webminで設定するなら次の通り。

PostfixによるSMTP接続拒否1


PostfixによるSMTP接続拒否2


PostfixによるSMTP接続拒否3


PostfixによるSMTP接続拒否4


PostfixによるSMTP接続拒否5


/var/log/mail.warmを見るとこんな感じ。
Feb 8 15:56:39 sir-2 postfix/postqueue[14134]: warning: Mail system is down -- accessing queue directly
Feb 8 15:59:42 sir-2 postfix/smtpd[14471]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:19:45 sir-2 postfix/smtpd[14790]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:39:57 sir-2 postfix/smtpd[15138]: warning: hostname no-reverse-dns-configured.com does not resolve to address 80.82.70.210
Feb 8 16:40:03 sir-2 postfix/smtpd[15143]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:40:03 sir-2 postfix/smtpd[15138]: warning: unknown[80.82.70.210]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:55:04 sir-2 postfix/smtpd[15269]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 17:00:26 sir-2 postfix/smtpd[15313]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 17:16:27 sir-2 postfix/smtpd[15568]: warning: hostname caribbean.edu does not resolve to address 63.131.244.10
Feb 8 17:21:02 sir-2 postfix/smtpd[15607]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 17:41:47 sir-2 postfix/smtpd[15893]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:02:42 sir-2 postfix/smtpd[16091]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:02:53 sir-2 postfix/smtpd[16091]: warning: hostname star10.b-cle.com does not resolve to address 202.222.76.235: Name or service not known
Feb 8 18:15:22 sir-2 postfix/smtpd[16489]: warning: hostname no-reverse-dns-configured.com does not resolve to address 80.82.70.210
Feb 8 18:15:28 sir-2 postfix/smtpd[16489]: warning: unknown[80.82.70.210]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:21:24 sir-2 postfix/smtpd[16526]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:23:41 sir-2 postfix/smtpd[16561]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

ちょっと落ち着いたかな…。

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
Fail2banの機能不全を回避
2018-01-05 18:52:23,986 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''。
年末にFail2banの機能不全を発見し、その後Googleで探しつつも、日本語サイトは一つも見つからず。
結局何が原因なのか分からないけど、海外サイトでようやく見つけてPostfix-SASLだけを試しにやってみたところ機能しました。
その回避方法を説明します。


まずはエラーログ。
2017-12-27 20:45:14,204 fail2ban.filter [22428]: INFO [postfix-sasl] Found 185.222.209.14
2017-12-27 22:36:45,858 fail2ban.filter [22428]: INFO [proftpd] Found 91.200.12.53
2017-12-27 23:14:15,220 fail2ban.filter [22428]: INFO [postfix-sasl] Found 185.222.209.14
2017-12-28 01:42:50,392 fail2ban.filter [22428]: INFO [proftpd] Found 164.132.91.13
2017-12-28 01:43:20,085 fail2ban.filter [22428]: INFO [postfix-sasl] Found 185.222.209.14
2017-12-28 01:43:21,036 fail2ban.actions [22428]: NOTICE [postfix-sasl] Ban 185.222.209.14
2017-12-28 01:43:21,635 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stdout: b''
2017-12-28 01:43:21,636 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stderr: b''
2017-12-28 01:43:21,637 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- returned 1
2017-12-28 01:43:21,637 fail2ban.CommandAction [22428]: ERROR Invariant check failed. Trying to restore a sane environment
2017-12-28 01:43:21,965 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stdout: b''
2017-12-28 01:43:21,965 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stderr: b''
2017-12-28 01:43:21,965 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- returned 1
2017-12-28 01:43:21,980 fail2ban.CommandAction [22428]: CRITICAL Unable to restore environment
2017-12-28 01:43:21,995 fail2ban.actions [22428]: ERROR Failed to execute ban jail 'postfix-sasl' action 'iptables-multiport' info 'CallingMap({'ipmatches': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160c80>, 'time': 1514393001.023401, 'matches': 'Dec 27 20:45:14 sir-2 postfix/smtpd[31675]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nDec 27 23:14:15 sir-2 postfix/smtpd[1090]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nDec 28 01:43:20 sir-2 postfix/smtpd[3132]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'failures': 3, 'ip': '185.222.209.14', 'ipfailures': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160f28>, 'ipjailmatches': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160d90>, 'ipjailfailures': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160bf8>})': Error banning 185.222.209.14
2017-12-28 01:53:21,697 fail2ban.actions [22428]: NOTICE [postfix-sasl] Unban 185.222.209.14

IPのBANに失敗している様子。


そこで、/etc/fail2ban/jail.confの[postfix-sasl]を次のようにした。
[postfix-sasl]

port = smtp,465,submission,imap3,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = %(postfix_log)s
backend = %(postfix_backend)s
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission,imap3,imaps,pop3,pop3s", protocol=tcp]

とどのつまり、,「 protocol=tcp」を削除。
これでサービス再起動して様子を見ることにしました。

これでも、まだ失敗。
2018-01-05 18:41:31,160 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stdout: b''
2018-01-05 18:41:31,160 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stderr: b"iptables v1.6.0: invalid port/service `imap3' specified\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2018-01-05 18:41:31,161 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- returned 1
2018-01-05 18:41:31,161 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 16:56:45 sir-2 postfix/smtpd[12722]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:48:32 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: VXNlcm5hbWU6Jan 5 18:40:43 sir-2 postfix/smtpd[14488]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.215', 'time': 1515145243.3979373}': Error stopping action
2018-01-05 18:41:31,372 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stdout: b''
2018-01-05 18:41:31,373 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stderr: b"iptables v1.6.0: invalid port/service `imap3' specified\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2018-01-05 18:41:31,373 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- returned 1
2018-01-05 18:41:31,373 fail2ban.actions [761]: ERROR Failed to stop jail 'postfix-sasl' action 'iptables-multiport': Error stopping action
2018-01-05 18:41:31,373 fail2ban.jail [761]: INFO Jail 'postfix-sasl' stopped
2018-01-05 18:41:32,528 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd
iptables -F fail2ban-proftpd
iptables -X fail2ban-proftpd -- stdout: b''
2018-01-05 18:41:32,531 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd
iptables -F fail2ban-proftpd
iptables -X fail2ban-proftpd -- stderr: b"iptables v1.6.0: Couldn't load target `fail2ban-proftpd':No such file or directory\n\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2018-01-05 18:41:32,532 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd
iptables -F fail2ban-proftpd
iptables -X fail2ban-proftpd -- returned 1
2018-01-05 18:41:32,532 fail2ban.actions [761]: ERROR Failed to stop jail 'proftpd' action 'iptables-multiport': Error stopping action
2018-01-05 18:41:32,532 fail2ban.jail [761]: INFO Jail 'proftpd' stopped

どうやら、マルチポートで指定するのが良くないようだ。
そこで、/etc/fail2ban/jail.confの[postfix-sasl]を次のようにした。
[postfix-sasl]

port = smtp,465,submission,imap3,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = %(postfix_log)s
backend = %(postfix_backend)s
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission,imap3,imaps,pop3,pop3s"]


割と効果があったようだが、まだダメなようだ。
2018-01-05 18:49:58,241 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.210
2018-01-05 18:50:37,061 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.217
2018-01-05 18:50:48,464 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.220
2018-01-05 18:51:20,084 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.204
2018-01-05 18:51:45,461 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.219
2018-01-05 18:52:23,746 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.174
2018-01-05 18:52:23,986 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:23,987 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:23,987 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:23,987 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 17:04:26 sir-2 postfix/smtpd[12817]: warning: unknown[91.200.12.174]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:49:52 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.174]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 18:36:08 sir-2 postfix/smtpd[14208]: warning: unknown[91.200.12.174]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.174', 'time': 1515145343.4443443}': Error unbanning 91.200.12.174
2018-01-05 18:52:24,989 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.207
2018-01-05 18:52:25,207 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.207 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:25,207 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.207 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:25,208 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.207 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:25,208 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 17:05:43 sir-2 postfix/smtpd[12817]: warning: unknown[91.200.12.207]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:50:50 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.207]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 18:36:27 sir-2 postfix/smtpd[14208]: warning: unknown[91.200.12.207]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.207', 'time': 1515145344.2789757}': Error unbanning 91.200.12.207
2018-01-05 18:52:26,210 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.209
2018-01-05 18:52:26,424 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.209 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:26,425 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.209 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:26,425 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.209 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:26,425 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 17:05:28 sir-2 postfix/smtpd[12817]: warning: unknown[91.200.12.209]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:50:55 sir-2 postfix/smtpd[13483]: warning: unknown[91.200.12.209]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 18:36:56 sir-2 postfix/smtpd[14208]: warning: unknown[91.200.12.209]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.209', 'time': 1515145345.1067364}': Error unbanning 91.200.12.209
2018-01-05 18:52:26,425 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.215
2018-01-05 18:52:26,650 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.215 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:26,651 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.215 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:26,652 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.215 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:26,652 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 16:56:45 sir-2 postfix/smtpd[12722]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:48:32 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: VXNlcm5hbWU6Jan 5 18:40:43 sir-2 postfix/smtpd[14488]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.215', 'time': 1515145345.9329934}': Error unbanning 91.200.12.215

ただ、しっかりとBANをしているので当分このままで運用する。
iptables -Dでエラーを吐いているのは、該当するIPを特定のチェーンから削除するコマンドなので、悪さをするIPは永久BANで良いと思うんですわ。
と言うことで、もしも「いやそれは違うよ!」と言うことであれば添削プリーズ。。。

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
TCP25ポートを閉じてみた…が!
32 unknown[84.38.133.114]: SASL LOGIN authentication failed: UGFzc...。
年末にメールセキュリティー向上を目指しながら、色々と他にもやっていた中の一つに、タイトル表記通りの事をやってみました。
実は、何かあったとき用に残していたのですが、そこを突いて悪さをしようとするヤカラがずっと続いていて、いい加減どうにかせなあかんな。と一念発起。


。。。するほどのことでもなく、Webminでネットワーク→FireWallDで「TCP」「25」にチェックを入れてDelete。
それで終わりました。
すると、メールワーニングログに吐き出される量が一気に減りました(笑)

★サーバOSバージョンアップ前[2017/12/03]★
1 unknown[93.174.93.46]: SASL PLAIN authentication failed:
1 hostname no-reverse-dns-configured.com does not resolve to addr...
1 hostname ip-98-216.4vendeta.com does not resolve to address 87....
1 hostname ip-98-221.4vendeta.com does not resolve to address 87....
1 non-SMTP command from min-10-26-14888-usnj-d-prod.binaryedge.ni...

この時も25ポートは解放していましたが、割とアタックが少なかったですね。


★サーバOSバージョンアップ後[2017/12/14]★
32 unknown[84.38.133.114]: SASL LOGIN authentication failed: UGFzc...
8 unknown[185.110.241.27]: SASL PLAIN authentication failed:
8 unknown[185.110.241.27]: SASL LOGIN authentication failed: UGFz...
6 unknown[46.21.153.68]: SASL LOGIN authentication failed: UGFzc3...
2 unknown[46.21.153.68]: SASL LOGIN authentication failed: Connec...
1 unknown[93.174.93.46]: SASL PLAIN authentication failed:
1 hostname no-rdns.mykone.info does not resolve to address 87.120...
1 hostname zg-1212a-57.stretchoid.com does not resolve to address...
1 hostname ip-98-216.4vendeta.com does not resolve to address 87....
1 hostname no-reverse-dns-configured.com does not resolve to addr...

何故かアタックが少し増えてきました。


★TCP25ポート閉鎖後[2017/12/27]★
6 unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFz...
1 unknown[93.174.93.46]: SASL PLAIN authentication failed:
1 hostname no-reverse-dns-configured.com does not resolve to addr...


こんなにも変わるのなら、もっと早くにやっておけば良かったとつくづく後悔しています。
しかし!
外部から届くメールが一切不達になってしまいました。
年末年始にかけて、何かメールが少ないなぁ。と思っていたのですが、まさかメール受信が出来なくなるとは!!!
と言うことで25ポートを再度開けたところ、外部からのメールが受信出来るようになりました。
なんだかなぁ…。


折角、メールを送ったのに受け取れなかった皆様、申し訳ございませんでした!

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
DKIMとDMARCの設定が出来ない
と書いてあるのですが、DNSサーバーの「どのゾーン」に追加するのか迄は書いていないんですよ。
メール送信詐称防止…セキュリティを高めるために、先々月から取り組んでいたのですが、SPFは辛うじて出来たのですけども、DKIMDMARCが何一つ成功しません。



なりすまし対策マニュアル「ナリタイ」を読んでいるのですが、どうしてもDNSサーバの設定で失敗するんですね。
この「ナリタイ」以外のサイトでも、DNSサーバのTXTレコードに追加するだけでOk。と書いてあるのですが、DNSサーバーの「どのゾーン」に追加するのか迄は書いていないんですよ。
だから、ローカル(127.0.0.1)だったり、sir-2.net外部ビューや内部ビューに、一つずつ入れたり、全部入れたり…。


もしかしてもしかすると、うちのサーバーは一つで運用しているから問題が発生しているのだろうか。
DNSサーバーは基本中の基本、マスターとスレーブの2台1セットを組まないとダメなんだけど、これがないからDKIMとDMARCが成功しないのだろうか。
年内に解決したかったのですが、持ち越しになります。
もう、SPFが出来たんだからそれでいいや!とも思っていたりもします(^^ゞ


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 17:26 | システム::linux | comments (0) | trackback (0)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30