înregistrare Logare
Puncte:1
avatar Server

Cum să împiedici sasl_username root să se autentifice?

drapel bo
user102362

Serverul meu Postfix continuă să fie folosit de spammeri. Aici este rezultatul lui sudo postcat -vq pentru ultimul mesaj spam prins:

âââ> sudo postcat -vq 3513818A8A
postcat: name_mask: all
postcat: inet_addr_local: configurat 2 adrese IPv4
postcat: inet_addr_local: configurat 2 adrese IPv6
*** ÎNREGISTRĂRI PLICURI amânate/3/3513818A8A ***
dimensiune_mesaj: 8412 720 1 0 8412
message_arrival_time: joi, 19 august 13:35:50 2021
create_time: joi, 19 august 13:35:50 2021
named_attribute: log_ident=3513818A8A
named_attribute: rewrite_context=remote
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=rădăcină
expeditor: [email protected]
named_attribute: log_client_name=necunoscut
named_attribute: log_client_address=93.122.252.4
named_attribute: log_client_port=16374
named_attribute: log_message_origin=necunoscut[93.122.252.4]
named_attribute: log_helo_name=109-166-129-221.orangero.net
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=necunoscut
named_attribute: reverse_client_name=necunoscut
named_attribute: client_address=93.122.252.4
named_attribute: client_port=16374
named_attribute: helo_name=109-166-129-221.orangero.net
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
atribut_numit: dsn_orig_rcpt=rfc822;[email protected]
original_recipient: [email protected]
destinatar: [email protected]

Pe baza acestor două rânduri:

named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=rădăcină

Cred că spammerul se înregistrează cu succes ca rădăcină și apoi trimiterea mesajelor lor de spam de pe serverul meu. Și asta se confirmă prin alergare sudo cat /var/log/maillog | grep sasl_username=rădăcină care arată o mulțime de intrări precum:

19 august 17:13:15 mail postfix/smtpd[11442]: EA58D18CCD: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:17 mail postfix/smtpd[11442]: BDA4E18D32: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:19 mail postfix/smtpd[11442]: 7387E18D31: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:21 mail postfix/smtpd[11442]: 1C0FB18D34: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:22 mail postfix/smtpd[11442]: DCB4418D36: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:24 mail postfix/smtpd[11442]: B62DD18D39: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:26 mail postfix/smtpd[11442]: 6F52B18D38: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:28 mail postfix/smtpd[11442]: 24DEF18D3A: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:29 mail postfix/smtpd[11442]: A30B418D3C: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:31 mail postfix/smtpd[11442]: 88D8318D3B: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 august 17:13:33 mail postfix/smtpd[11442]: 11F6118D44: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root

Am Dovecot care rulează pe server în afară de Postfix, așa că verific /etc/dovecot/conf.d/10-mail.conf fisierele arata:

# Interval UID valid pentru utilizatori, implicit la 500 și mai mult. Aceasta este în mare parte
# pentru a vă asigura că utilizatorii nu se pot conecta ca demoni sau alți utilizatori de sistem.
# Rețineți că respingerea autentificărilor root este codificată în codul binar și nu se poate
# se face chiar dacă first_valid_uid este setat la 0.
first_valid_uid = 1000
#last_valid_uid = 0

Așa că acum am pierdut cum exact reușește spammerul să se autentifice ca rădăcină. E de la sine înțeles rădăcină utilizatorul este dezactivat pe sistem.

Orice sugestii despre cum să preveniți complet sasl_username rădăcină de la autentificare în sistem?

240
1 + 2
anx avatar
drapel fr
anx
Bănuiesc că nu utilizați Dovecot pentru a valida autentificarea sasl. Ieșirea comenzii `postconf smtpd_sasl_type` va spune. De asemenea, mă îndoiesc că aveți un motiv întemeiat să acceptați trimiteri autentificate pe portul 25 (linia care începe cu `smtp inet`), așa că examinați master.cf și asigurați-vă că `-o smtpd_sasl_auth_enable=yes` apare atașat doar la serviciile destinate trimiterii (linia care începe `smtps inet` și opțional `submission inet`).
0
Răspunde
drapel bo
user102362
Ai avut dreptate: rularea `postconf smtpd_sasl_type` a indicat către `cyrus`. Dar apoi căutarea `cyrus` pe sistem arată unele intrări în `selinux` (care este dezactivat) și unele în `/usr/share/doc/`, deci nu există fișiere de configurare.
1
Răspunde
Puncte:1
avatar Server
drapel ec
Jarris

În ultimul timp, am avut exact același lucru pe cutia mea Ubuntu actualizată. Sunt sigur că am avut smtpd_sasl_type = dovecot și smtpd_sasl_path = private/auth set.

Am aceeași întrebare pe care o are user102362: când am citit asta în configurația mea:

# Rețineți că respingerea autentificărilor root este codificată în codul binar și nu se poate
# se face chiar dacă first_valid_uid este setat la 0.

Presupun că nu este posibil să se autentifice ca root. Dar atunci, DE CE este posibil acest lucru:

19 ian 21:16:46 VPS postfix/smtpd[9392]: EF1B6BD5B8: client=unknown[213.233.y.x], sasl_method=LOGIN, sasl_username=root

și a avut ca rezultat trimiterea multor e-mailuri nesolicitate?

Coincidență sau nu, autentificările SASL (reușite) au venit din aceeași țară și operator, așa că am decis să blochez complet următoarele blocuri:

93.122.128.0/17
213.233.88.0/24
46.97.176.0/21
178.138.64.0/18
109.166.128.0/17

Și am schimbat parola root (și a altor conturi).

0 + 0
Puncte:1
anx avatar Server
drapel fr
anx

Fără să știu cine a configurat acel sistem în acest fel și de ce, nu pot da o recomandare specifică. Dar pot spune că majoritatea covârșitoare a serverelor pe care Dovecot se ocupă de autentificarea IMAP sunt bine deservite, lăsându-l pe Dovecot să se ocupe și de autentificarea SMTP și așa este configurația dvs. Dovecot. first_valid_uid ar deveni efectivă și pentru trimiterea prin corespondență.

Citit documentația relevantă și apoi luați în considerare configurarea Postfix-ului pentru a amâna autentificarea la Dovecot, de obicei aceste rânduri în principal.cf:

smtpd_sasl_type = porumbel
smtpd_sasl_path = private/auth

În plus, luați în considerare setarea smtpd_sasl_auth_enable = nr în principal.cf și înlăturând primul smtpd_sasl_auth_enable=da sus în tine maestru.cf. Autentificarea este de obicei de dorit numai pentru serviciile destinate transmiterii (linia care începe smtps inet și, opțional, inet de trimitere), deci ar trebui să fie activată numai pentru unul sau două astfel de servicii prin maestru.cf. Acest lucru ar distruge clienții care folosesc portul 25 pentru a trimite e-mailul autentificat - dar o astfel de configurație a clienților probabil că trebuie revizuită oricum dacă modificați configurația.

0 + 3
anx avatar
drapel fr
anx
Odată ce trimiterile *noile* sunt restricționate corespunzător, mai trebuie să vă ocupați de e-mailurile trimise anterior și încă aflate în coadă, pentru care probabil doriți să utilizați [postsuper](https://serverfault.com/search?q=postsuper).
0
Răspunde
drapel bo
user102362
Sistemul a fost setat în acest fel împreună cu Webmin/Virtualmin. Setarea `smtpd_sasl_auth_enable=` la `no` în linia care începe cu `smtp` în fișierul master.cf pare să fi oprit toate încercările de autentificare sasl nedorite, oferind în același timp utilizatorilor legitimi să continue să-și folosească clienții de e-mail. Mulțumesc mult!
0
Răspunde
anx avatar
drapel fr
anx
@user102362 Doar pentru a fi foarte clar aici: dezactivarea caracteristicilor de autentificare pe un anumit port unde nu este necesar poate opri un anumit bot să abuzeze de configurația dvs. de autentificare configurată greșit - *dar totuși trebuie să remediați* configurația de autentificare, deoarece serverul dvs. ar putea fi încă abuzat în acest fel pe celelalte porturi folosite de utilizatorul legitim!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.