在装有 HCL Domino v.12(或 v.14,没有区别)的 Rocky Linux v.9 服务器上,我安装了 fail2ban,通过分析 console.log 来阻止使用不正确的用户名或密码访问 SMTP 端口的尝试,并且它可以正常工作。

在 fail2ban 过滤器中我输入了以下行:

failregex = .* Authentication failed .* connecting host <HOST>

当 console.log 中的行匹配时,远程 IP 将被 fail2ban 阻止,如下所示:

SMTP Server: Authentication failed for user info@domain.tld ; connecting host 11.22.33.44

到目前为止一切顺利,但问题在于这些行写入日志需要很长时间,这使得远程服务器在 fail2ban 注意到并阻止它之前发送数十(甚至数百)个身份验证请求。

所以我的问题是:Hcl Domino 中是否有一个标志,或者在 notes.ini 中放入一行,以减少对 SMTP 端口的攻击和将该行写入日志之间的延迟时间?如果没有这样的事情,我还能用什么其他方法来阻止这些攻击并避免所有这些无用的流量?

提前感谢大家。


最佳答案
2

Fail2Ban 是阻止身份验证事件的正确方法。SNMP 和 Domino 事件监控更适合于警报和长期监控。Fail2ban 允许在 Linux 防火墙级别阻止攻击者。

我不知道 的延迟有多长。 “很长的时间”IBM_TECHNICAL_SUPPORT/console.log是什么意思?你能用秒来量化吗?

当您使用我的时,数据目录中会有另一个名为“notes.log”的文件。与 console.log 不同,此文件是从服务器进程 stdout 重定向的,并且不会轮换。

它由启动脚本自动管理。

  • 它被存档为压缩的 tar 并正确命名
  • 您可以指定保留时间

此日志更适合 Fail2Ban 集成。Start Script 项目还为互联网协议提供了 Fail2Ban 集成。

它还提供了一个脚本来管理这个失败的Fail2Ban集成。

这是文档页面的链接,您还可以在其中找到 Domino 启动脚本

如果你有任何问题或反馈,请直接在

我认为比扫描 console.log 更合适的是利用 events4.nsf 中的事件系统,

使用事件处理程序:

如果事件发生,有很多可能的选择:

可能的候选者似乎是记录到 Unix 日志或运行代理,或者可能发送 SNMP 陷阱。

1

  • 这似乎是正确的方法,我会仔细研究一下。谢谢你的建议,一旦成功我会告诉你(如果我成功了,我会告诉你我是如何做到的)。


    –