Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 140-pare-feu-fail2ban:30-autres-filtres [le 04/07/2025 à 15:16] – [Un exemple] prof
+++ 140-pare-feu-fail2ban:30-autres-filtres [le 14/07/2025 à 14:29] (Version actuelle) – [Postfix] prof
@@ Ligne 15: / Ligne 15: @@
 apache-common.conf     apache-noscript.conf
 </pre></html>
-Il n'est pas question d'activer par défaut tous ces filtres. «apache-noscript» est probablement à étudier en priorité. Cependant, il faut avoir présent à l'esprit que les robots d'indexation peuvent légitimement rechercher certains scripts. Il faut donc plutôt s'intéresser aux adresses IP qui cherchent dans un laps de temps relativement court différents scripts.
+Il n'est pas question d'activer par défaut tous ces filtres. «apache-noscript» est probablement à étudier en priorité. Cependant, il faut avoir présent à l'esprit que les robots d'indexation peuvent légitimement rechercher certains scripts dans leur recherches d'indexation. Il reste donc nécessaire de garder un œil sur l'activité du filtre mis en place.
 Une configuration comme celle-ci peut être envisagée:
@@ Ligne 40: / Ligne 40: @@
 root@trixie-nft:/etc/fail2ban/jail.d# nft list table inet f2b-table
 table inet f2b-table {
-	set addr6-set-apache-noscript {
+<span class="bhlo">	set addr6-set-apache-noscript {
 		type ipv6_addr
 		elements = { 2a01:e0a:875:b1d0:5054:ff:fefe:c099 }
-	}
+	}</span>
 	chain f2b-chain {
 		type filter hook input priority filter - 1; policy accept;
-		tcp dport { 80, 443 } ip6 saddr @addr6-set-apache-noscript reject with icmpv6 port-unreachable
+		<span class="bhlo">tcp dport { 80, 443 } ip6 saddr @addr6-set-apache-noscript reject with icmpv6 port-unreachable</span>
 	}
 }
@@ Ligne 97: / Ligne 97: @@
 Fail2Ban
 </pre></html>
-Et comme ce hacker est décidément un bourrin, il essaye encore ssh, des fois que...
+Mais comme ce hacker est décidément un bourrin, il essaye encore ssh, des fois que...
 Et au final:
@@ Ligne 120: / Ligne 120: @@
 </pre></html>
+===== Postfix =====
+La gestion de Postfix par systemd nécessite quelques remarques.
+Si la commande ''journalctl -u postfix.service'' permet d'obtenir toutes les informations nécessaires dans le cas de Debian 13 «Trixie», ce n'est pas le cas pour les versions antérieures (12 «Bookworm») où il faudra adopter l'une de ces commandes
+  journalctl _SYSTEMD_SLICE=system-postfix.slice
+  journalctl _SYSTEMD_UNIT=postfix@-.service
+Fail2ban propose par défaut un seul filtre: ''postfix.conf'', mais il peut lui aussi être plus ou moins «aménagé» au moyen des modes.
+<html><pre class="code">
+<span class="txtb"># Parameter "mode": more (default combines normal and rbl), auth, normal, rbl, ddos, extra or aggressive (combines all)
+# Usage example (for jail.local):
+#   [postfix]
+#   mode = aggressive
+#
+#   # or another jail (rewrite filter parameters of jail):
+#   [postfix-rbl]
+#   filter = postfix[mode=rbl]
+#
+#   # jail to match "too many errors", related postconf `smtpd_hard_error_limit`:
+#   # (normally included in other modes (normal, more, extra, aggressive), but this jail'd allow to ban on the first message)
+#   [postfix-many-errors]
+#   filter = postfix[mode=errors]
+#   maxretry = 1
+#</span>
+<span class="bhly">mode = more</span>
+</pre></html>
+Dans la mesure où Postfix utilise SASL pour authentifier les clients sortants, le mode auth est redondant avec l'authentification Dovecot. En revanche, il peut être utile de surveiller les «ddos», ce que le mode «normal» (ou «more» qui est désormais équivalent) ne fait pas.
+En revanche, les modes «extra» ou «aggressive» le font, mais également mettent en jeu la surveillance de l'authentification.
+===== Dovecot =====
+La définition proposée pour la prison «dovecot» est la suivante:
+<html><pre class="code">
+[dovecot]
+enabled =  true
+port    = pop3,pop3s,imap,imaps,submission,465,sieve
+logpath = %(dovecot_log)s
+backend = %(dovecot_backend)
+</pre></html>
+Nous n'utilisons pas les protocoles pop3 ni pop3s. donc nous mettrons plutôt:
+  port  = imap,imaps,submission,465,sieve