メールサーバーログから不正ログイン履歴を収集して 対象IPアドレスをブロックリストに追加してファイヤーウォールを再起動する
- ubuntu20.04LTS ufw 環境
- /var/log/mail.log
- コマンドライン引数でログファイル名を渡す(*.gz対応)
- /etc/ufw/before.rules ルールを挿入したい位置に指定のスタートコメントとエンドコメントを記載しておくこと
ipset_start_line = "blacklist-ipset-S"
ipset_end_line = "blacklist-ipset-E"
リスト挿入位置に上記で指定した文字列が含まれるコメントを、start位置、end位置とする
- メールサーバーログから不正ログインの痕跡を収集(SASL Login Fail など)、 指定回数以上アクセスがあった場合ファイヤーウォールのブロックリストに追加する
- ブロックリストを解析して、指定したネットマスクに該当する不正IPアドレスが 多い場合ネットマスクごとブロックリストに追加する
- 他の手段で個別に入手した不正アクセスIPアドレスを個別にブロックリスト対象として 追加する