Dovecot pam authentifizierung (nicht nötig?) und fail2ban

[mbanse]

Gude,

ich habe vor zirka einem Monat einen neuen Server aufgesetzt, Installation erfolgte mit Debian 12 und ansonsten nach der Froxlor-Doku.

Vorgestern ist mir aufgefallen, dass ich fail2ban vergessen habe mit zu konfigurieren. Lief zwar, aber es waren keine Dienste aktiviert.
Ich tickerte meine Dienste in die fail2ban Konfiguration und merkte heute, dass meine IP gesperrt wurde, da es zu viele fehlerhafte Logins gab.

Ich forschte etwas und stieß darauf, dass Dovecot mit der Anmeldung über pam scheiterte, anschließend die SQL authentifizierung gegen die Froxlor-Datenbank aber erfolgreich klappte.

Ursache dafür ist die Konfiguration conf.d/auth-system.conf.ext.
Sie wird in Dovecot in der conf.d/10-auth.conf inkludiert.

In Zeile 10-15 ist die passdb mit driver = pam aktiv. Damit versucht Dovecot also die Authentifizierung gegen pam. Die aber scheitert, weil es für die Mail-User keine Systemuser gibt.

Durch den ersten Login-Versuch gegen pam gibt es natürlich einen Logeintrag und wenn man fail2ban ziemlich knapp konfiguriert hat, dann gibts einen ban auf die IP vom Request.

Ohne fail2ban fällt das gar nicht auf, weil dovecot dann einfach weitermacht und den Login gegen die Froxlor-DB ausprobiert (und dann auch Erfolg hat).

Da ich (und vermutlich die meisten mit dem normalen Froxlor-Setup) keine pam Authentifizierung (oder noch andere, wobei nur pam per Dovecot-default aktiv ist) für Dovecot brauchen, habe ich den Include in der 10-auth.conf mit # auskommentiert.
Damit wird nur noch der SQL Login versucht, es gibt keinen "unknown user"-Log und fail2ban hält die Finger still.

Ich habe mir auch nochmal die Installationsdoku und die Konfiguration angesehen und habe dazu nirgends einen Hinweis gefunden, dass pam deaktiviert werden sollte / könnte.
Falls ich es doch mehrmalig überlesen habe, entschuldige ich mich :). Oder gibt es einen anderen Grund, dass pam unbedingt aktiv sein sollte? Ich konnte für mein ziemliches Standard-Setup keinen Grund finden.

Vielleicht hilft es ja jemand, der sich damit auch herumärgert =).

 

Grüße

Montgomery

[d00p]

Wir orientieren uns eigentlich immer an den distributions-defaults von den diensten um so wenige änderungen wie möglich zu haben. Ich gebe dir allerdings recht, ich denke auch nicht das da jemand groß pam-auth nutzen dürfte

[d00p]

Ich sehe gerade, dass betrifft wohl aktuell nur die bookworm config-templates - hier wollten wir eine 99-froxlor.conf erstellen statt alle files einzeln anzupassen wie bei den anderen...wie sich herausstellt ist dann natürlich PAM authentifizierung aktiviert (default, wie du sagst). Es gibt leider keine Direktive die uns erlaubt das in der 99-froxlor.conf wieder zu deaktivieren. Das sollte aber fixbar sein. So ist das was du jetzt gemacht hast auch exakt das, was wir schon die ganze zeit machen und in bookworm ist es nicht korrekt.

[mbanse]

Stimmt, denn auf meinem anderen Server (noch Debian 10) ist mir das Phänomen nicht untergekommen.

Vielleicht kann man das ja auch als Hinweis mit in die Doku aufnehmen oder sowas.

Aber man darf ja auch nicht vergessen fail2ban gehört ja nicht zur Froxlor Installation. Sprich an und für sich legt der User (wie ich), dann selbst Hand an.
Ich war aber anfangs mega irritiert, da die Logs sagen, dass der Login fehlschlägt, der Login dann aber doch klappt. Da liegt die Aufmerksamkeit wieder im Detail ;D.