Question

在装有 HCL Domino v.12（或 v.14，没有区别）的 Rocky Linux v.9 服务器上，我安装了 fail2ban，通过分析 console.log 来阻止使用不正确的用户名或密码访问 SMTP 端口的尝试，并且它可以正常工作。

在 fail2ban 过滤器中我输入了以下行：

failregex = .* Authentication failed .* connecting host <HOST>

当 console.log 中的行匹配时，远程 IP 将被 fail2ban 阻止，如下所示：

SMTP Server: Authentication failed for user info@domain.tld ; connecting host 11.22.33.44

到目前为止一切顺利，但问题在于这些行写入日志需要很长时间，这使得远程服务器在 fail2ban 注意到并阻止它之前发送数十（甚至数百）个身份验证请求。

所以我的问题是：Hcl Domino 中是否有一个标志，或者在 notes.ini 中放入一行，以减少对 SMTP 端口的攻击和将该行写入日志之间的延迟时间？如果没有这样的事情，我还能用什么其他方法来阻止这些攻击并避免所有这些无用的流量？

提前感谢大家。

Answer 1

Fail2Ban 是阻止身份验证事件的正确方法。SNMP 和 Domino 事件监控更适合于警报和长期监控。Fail2ban 允许在 Linux 防火墙级别阻止攻击者。

我不知道的延迟有多长。 “很长的时间”IBM_TECHNICAL_SUPPORT/console.log是什么意思？你能用秒来量化吗？

当您使用我的时，数据目录中会有另一个名为“notes.log”的文件。与 console.log 不同，此文件是从服务器进程 stdout 重定向的，并且不会轮换。

它由启动脚本自动管理。

此日志更适合 Fail2Ban 集成。Start Script 项目还为互联网协议提供了 Fail2Ban 集成。

它还提供了一个脚本来管理这个失败的Fail2Ban集成。

这是文档页面的链接，您还可以在其中找到 Domino 启动脚本。

如果你有任何问题或反馈，请直接在

Answer 2

我认为比扫描 console.log 更合适的是利用 events4.nsf 中的事件系统，

使用事件处理程序：

如果事件发生，有很多可能的选择：

可能的候选者似乎是记录到 Unix 日志或运行代理，或者可能发送 SNMP 陷阱。

smtp – Rocky Linux 9 上的 HCL Domino v.12/14：延迟写入 console.log – 程序园

最佳答案
2