[Çözüldü] Sendmail, Fail2ban kurulumu

[Deathangel]

Arkadaslar Senmail i yükledım yanı ama ayarlamalarını anlata site ingilizce bende de ingilizce yok acaba ayarlamalarını buraya atabılıcek varmı Fail2Ban için sendmail gereklide

[plazma]

https://forum.ubuntu-tr.net/index.php?topic=45060.msg523066#msg523066

11. Adında fail2ban anlatımı var.

Sunuc yazılımları bölümü : https://forum.ubuntu-tr.net/index.php?board=328.0

[Deathangel]

Bu 1. code penceresine aldıgım benim sistemimdeki ayarlamalar 2. code penceresındekıler ise olması gereken ayarlamalar

Kod Seç Genişlet

  GNU nano 2.2.6                                                  Dosya: /etc/fail2ban/jail.local                                                                                                Değiştirildi 

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# Comments: use '#' for comment lines and ';' for inline comments
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
maxretry = 3

# "backend" specifies the backend used to get files modification.
# Available options are "pyinotify", "gamin", "polling" and "auto".
# This option can be overridden in each jail as well.
#
# pyinotify: requires pyinotify (a file alteration monitor) to be installed.
#            If pyinotify is not installed, Fail2ban will use auto.
# gamin:     requires Gamin (a file alteration monitor) to be installed.
#            If Gamin is not installed, Fail2ban will use auto.
# polling:   uses a polling algorithm which does not require external libraries.
s# auto:      will try to use the following backends, in order:
#            pyinotify, gamin, polling.
backend = auto

# "usedns" specifies if jails should trust hostnames in logs,
#   warn when reverse DNS lookups are performed, or ignore all hostnames in logs
#
# yes:   if a hostname is encountered, a reverse DNS lookup will be performed.
# warn:  if a hostname is encountered, a reverse DNS lookup will be performed,
#        but it will be logged as a warning.
# no:    if a hostname is encountered, will not be used for banning,
#        but it will be logged as info.
usedns = ubuntu
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = privatekey0@gmail.com

#
# Name of the sender for mta actions
sendername = Fail2Ban

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s", sendername="%(sendername)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s", sendername="%(sendername)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#
# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = false

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

[dropbear]

enabled  = false
port     = ssh
filter   = dropbear
logpath  = /var/log/auth.log
maxretry = 6
[dropbear]

enabled  = false
port     = ssh
filter   = dropbear
logpath  = /var/log/auth.log
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled  = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter   = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2

[ssh-ddos]

enabled  = false
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6


# Here we use blackhole routes for not requiring any additional kernel support
# to store large volumes of banned IPs

[ssh-route]

enabled = false
filter = sshd
action = route
logpath = /var/log/sshd.log
maxretry = 6

# Here we use a combination of Netfilter/Iptables and IPsets
# for storing large volumes of banned IPs
#
# IPset comes in two versions. See ipset -V for which one to use
# requires the ipset package and kernel support.
[ssh-iptables-ipset4]

enabled  = false
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6


# Here we use blackhole routes for not requiring any additional kernel support
# to store large volumes of banned IPs

[ssh-route]

enabled = false
filter = sshd
action = route
logpath = /var/log/sshd.log
maxretry = 6

# Here we use a combination of Netfilter/Iptables and IPsets
# for storing large volumes of banned IPs
#
# IPset comes in two versions. See ipset -V for which one to use
# requires the ipset package and kernel support.
[ssh-iptables-ipset4]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto4
logpath  = /var/log/sshd.log
maxretry = 6

[ssh-iptables-ipset6]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto6
logpath  = /var/log/sshd.log
maxretry = 6


#
# HTTP servers
#

[apache]

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6
# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled  = false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled  = false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

# Ban attackers that try to use PHP's URL-fopen() functionality
# through GET/POST variables. - Experimental, with more than a year
# of usage in production environments.

[php-url-fopen]

enabled = false
port    = http,https
filter  = php-url-fopen
logpath = /var/www/*/logs/access_log

# A simple PHP-fastcgi jail which works with lighttpd.
# If you run a lighttpd server, then you probably will
# find these kinds of messages in your error_log:
#   ALERT – tried to register forbidden variable 'GLOBALS'
#   through GET variables (attacker '1.2.3.4', file '/var/www/default/htdocs/index.php')

[lighttpd-fastcgi]

enabled = false
port    = http,https
filter  = lighttpd-fastcgi
logpath = /var/log/lighttpd/error.log

# Same as above for mod_auth
# It catches wrong authentifications
[lighttpd-auth]

enabled = false
port    = http,https
filter  = suhosin
logpath = /var/log/lighttpd/error.log

[nginx-http-auth]

enabled = false
filter  = nginx-http-auth
port    = http,https
logpath = /var/log/nginx/error.log

# Monitor roundcube server

[roundcube-auth]

enabled  = false
filter   = roundcube-auth
port     = http,https
logpath  = /var/log/roundcube/userlogins


[sogo-auth]

enabled  = false
filter   = sogo-auth
port     = http, https
# without proxy this would be:
# port    = 20000
logpath  = /var/log/sogo/sogo.log


#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6

[pure-ftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = pure-ftpd
logpath  = /var/log/syslog
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/syslog
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp,submission
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp,submission
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = postfix-sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.

logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log

# To log wrong MySQL access attempts add to /etc/my.cnf:
# log-error=/var/log/mysqld.log
# log-warning = 2
[mysqld-auth]

enabled  = false
filter   = mysqld-auth
port     = 3306
logpath  = /var/log/mysqld.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:

#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connection-less protocol, spoofing of IP and imitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html

#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

# Multiple jails, 1 per protocol, are necessary ATM:
# see https://github.com/fail2ban/fail2ban/issues/37
[asterisk-tcp]

enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = tcp
logpath  = /var/log/asterisk/messages

[asterisk-udp]

enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = udp
logpath  = /var/log/asterisk/messages


# Jail for more extended banning of persistent abusers
# !!! WARNING !!!
#   Make sure that your loglevel specified in fail2ban.conf/.local
#   is not at DEBUG level -- which might then cause fail2ban to fall into
#   an infinite loop constantly feeding itself with non-informative lines
[recidive]

enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5



Arşivde böyle yapmamı söylüyordu

Kod Seç Genişlet

11) Fail2Ban Kurulumu ve Kullanımı

Sunucunuza SSH aracılığı ile bağlanmak oldukça güvenli olsa da SSH servisinin kendisi de güvenliğe alınımış olmalı çünkü bağlantı şeklinin kendisi saldırganlar tarafından vektörel saldırılara maruz kalabilir.

Ağda bulunan herhangi bir servis olası bir hedef konumundadır. Eğer uygulama kayıtlarını incelemek için vakit ayırısanız bot ve kötü niyetli kişiler tarafından brute force yöntemi kullanlılarak, sistematik bir şekilde kullanıcı girişi yapılmaya çalıştığını görürsünüz.

İşte fail2ban yazılımı, güvenlik duvarı ayarlamalarını temel alarak başarısız kullanıcı girişi denemeleri için tanımlı deneme sayısından sonra belirlenen süre boyunca engelleme sağlayacaktır.
Bu sayede yasal olmayan bu girişimleri engelleme yükünü üstünüzden alacaktır.

Anlatımın bu kısmında sunucuya fail2ban yazılımının kurulumu ve kullanımı anlatılacaktır.

11.1) Kurulum

Yazılımın kurulumu oldukça kolay olacak zira Ubuntu'nun varsayılan depolarında paketler bulunuyor. Kurulum için şu komutları kullanacağız:
Kod: [Seç]
sudo apt-get update
sudo apt-get install fail2ban
Görüldüğü gibi kurulum tamamlandı, şimdi sıra ayarlamalarda.

11.2) Düzenlemeler

Fail2ban uygulaması ayar dosyalarını /etc/fail2ban dizininde saklıyor. Burada bulunan jail.conf dosyasını kullanarak ayarlamaları yapacağız.

Yazılım Ubuntu depolarına eklendiğindendir jail.conf dosyasında değişiklik yapmıyoruz çünkü gelecekte doğabilecek sorunlar için varsayılan ayar dosyasını saklamak iyi bir güvenlik yöntemi oluyor.  İşe bununla başlayacağız:
Kod: [Seç]
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Dosyayı kopyaladıktan sonra düzenleme için dosyayı açıyoruz.
Kod: [Seç]
sudo nano /etc/fail2ban/jail.local
Bu dosyada ayarlama yapmamızı sağlayacak bazı kısımlar bulunuyor.  [DEFAULT] kısmı altında bulunan ayarlar eğer "enabled" olarak seçiliyse uygulanır, fail2ban tüm uygulamarını çalışır şekilde başlamaz. Ayarlamalara gelecek olursak:
Kod: [Seç]
ignoreip = 127.0.0.1/8
Bu ayar sayesinde girilen IP numarası yazılımın kurallarından muaf tutulur. Mevcut hali ile bırakılırsa yerel makineden gelen trafik engellenmez. Birden fazla IP eklemek için aralarında boşluk bırakarak numaraları girmek yeterli olacaktır.
Kod: [Seç]
bantime = 600
Bu paramatere engellenme süresini saniye cinsinden ifade eder.  Varsayılan halinde 10 dakikalık bir süreye tekabul eder.
Kod: [Seç]
findtime = 600
maxretry = 3
Bu kısım iki parametre içerir. Bu iki parametre birlikte çalışarak hangi kullanıcının engellenmesi gereken kötü niyetli kullanıcı olduğunu bulmaya yarar.

maxretry  parametresi findtime parametresinde belirtilen süre içinde kaç deneme hakkının olduğunu belirler. Varsayılan ayarla 10 dakika içinde 3 kere hatalı giriş yapmaya çalışan kullanıcı 10 dakikalığına otomatik olarak engellenir.
Kod: [Seç]
destemail = root@localhost
sendername = Fail2Ban
mta = sendmail
Bu parametre sayesinde yazılım size uyarı e-postası atabilir. destmail parametresi sistem yöneticisinin e-posta adresi olmalıdır. sendername  kısmı "Kimden" kısmına tekabül eder. Son parametre olan mta se hangi mail uygulamasını kullanalıcağını gösterir.
Kod: [Seç]
action = $(action_)s
Bu parametre  fail2ban'ın yasaklama varyasyonlarını belirler.  Varsayılan halinde, oluşturulan kural çerçevesinde, güvenlik duvarını oluşan trafiği engellemek için kullanır.

Bu engelleme sırasında e-posta yollama veya e-postaya kayıt dosyasını ekleme eylemlerini de ekleyebilirsiniz. Bunun için örneğin engelleme için e-posta almak istiyorsanız paramatereyi action_mw yapmanız; kayıt dosyasını da e-postaya eklemek için action_mwl şeklinde parametre düzenlemesi yapmanız gerekiyor. Bu düzenleme için e-posta sunucuzun doğru çalıştığından emin olun.

hatamı görebilen varmı acaba ?

[plazma]

Bir başlığınız var aynı başlıktan devam edelim, başlıklarınızı birleştirdim.

[Deathangel]

Bir başlığınız var aynı başlıktan devam edelim, başlıklarınızı birleştirdim.

yanlız ilk baslık sendmail ıkıncı baslık fail2ban ıkısıde aynı degıldıkı

[plazma]

İlk iletinizde sendmail yükledim ama fail2ban kurulumunu sormuşsunuz, fail2ban ayarı için ikinci açtığınız başlıkta, aynı değil derken Sendmail i sorunsuz kuramadınız mı?

[Deathangel]

onu kurdum sorun kalmadı ama bu seferde fail2ban da sorun oldu yapması gereken blocklama işlemini yapmıyor yanlıs sıfre gırılmesı halınde 6 dk sıfre gırılmesını bloclaması gerekıyor ama ben en az 20 kez denedım yaptıgım ayarların kontrol edılmesı ıcın acmıstım konuyu

[plazma]

Muaf tutulan ip den mi deneme yapıyorsunuz?

[Deathangel]

o dedıgınızı nasıl ogrenebılırım yapıp yapmadıgımı bıraz ezberden yaptımda

[plazma]

Denemeleri sendmail, fail2ban kurduğunuz bilgisayardan mı yapıyorsunuz? Cevap evetse sunucu bilgisayarınız zaten muaftır, aynı ağa bağlı başka bir bilgisayardan deniyorsanız muaf değildir.

[Deathangel]

muaf bılgısayarda yapıyorum sımdı farklı bır bılgısayardan denenıncemı olucak ?


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 29 Şubat 2016 - 21:34:14
anca ıp adresini eth0 dan alması gerekmezmı benım ıp mı lo dan alıyor sızce normal mı

[heartsmagic]

lo arayüzünden IP alma diye bir şey olmaz, orada tanımlı adres 127.0.0.1'dir. IP adresin vardır ve doğru yerden alıyordur, almadığını düşünüyorsan çıktıları buraya aktar ki yorum yapabilelim.

fail2ban ayarlamasında fazlaca bir şey yok, kurup ardından:

Kod Seç Genişlet

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
şeklinde yerel dosyanı oluşturacaksın. Bu dosya üzerinde de kendi ayarlamalarını yapabilirsin. Sen oluşturmuşsun zaten dosyayı.

O dosyada usedns ayarı neden ubuntu? Öyle bir ayar yok, warn olarak değiştir o değeri. Geri kalan kısımlar durabilir, şu an 6 denemeye bakıyor kendisi. İstiyorsan maxretry kısmını değiştirebilirsin, örneğin 3,4 artık ne istiyorsan. bantime değeri de varsayılan olarak 600 saniye yani 10 dakika. Ben takılmam, takılırsam da başımın çaresine bakarım diyorsan 84600 yap o değeri. 24 saate denk geliyor, yasaklanan en azından 24 saat geri gelemez böylece.

Eposta ayarını yapmak ister misin bilmiyorum, çok fazla deneme olacaktır çünkü ve bir yerden sonra rahatsız edebilir bu seni. Kaldı ki botun gelip deneme yaptığını öğrenmek de pek fayda verir mi bilemiyorum.

[Deathangel]

abi e posta ayarını da yapmak istiyorum cıktıyıda buraya hemen aktarıyorum

Kod Seç Genişlet

eth0      Link encap:Ethernet  HWaddr 90:2b:34:38:f8:db 
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fd3c:dfbd:8624:ae00:f9a6:f12c:63c1:7d42/64 Scope:Evrensel
          inet6 addr: fd3c:dfbd:8624:ae00:922b:34ff:fe38:f8db/64 Scope:Evrensel
          inet6 addr: fe80::922b:34ff:fe38:f8db/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:529669 errors:0 dropped:1 overruns:0 frame:0
          TX packets:374831 errors:0 dropped:0 overruns:0 carrier:2
          collisions:0 txqueuelen:1000
          RX bytes:696527263 (696.5 MB)  TX bytes:39903384 (39.9 MB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Sunucu
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:276248 errors:0 dropped:0 overruns:0 frame:0
          TX packets:276248 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:511968988 (511.9 MB)  TX bytes:511968988 (511.9 MB)


[heartsmagic]

Bu sunucu nerede kurulu? IP almış işte kendisi ve bir modem arkasında gibi. Eposta baş ağrısı, ne gerek var bilmiyorum ama:

Kod Seç Genişlet

action = %(action_)s


satırını

Kod Seç Genişlet

action = %(action_mwl)s olarak değiştir. sendmail kuruluysa ve bir sorun yoksa eposta gidecektir diye düşünüyorum. Ha, doğru ayarlar olmadan karşı tarafın istenmeyen (spam) dizinine düşecektir yüksek ihtimalle.

[Deathangel]

Tteşekkür ederim abi çok saol