ich habe vor zirka einem Monat einen neuen Server aufgesetzt, Installation erfolgte mit Debian 12 und ansonsten nach der Froxlor-Doku.
Vorgestern ist mir aufgefallen, dass ich fail2ban vergessen habe mit zu konfigurieren. Lief zwar, aber es waren keine Dienste aktiviert.
Ich tickerte meine Dienste in die fail2ban Konfiguration und merkte heute, dass meine IP gesperrt wurde, da es zu viele fehlerhafte Logins gab.
Ich forschte etwas und stieß darauf, dass Dovecot mit der Anmeldung über pam scheiterte, anschließend die SQL authentifizierung gegen die Froxlor-Datenbank aber erfolgreich klappte.
Ursache dafür ist die Konfiguration conf.d/auth-system.conf.ext.
Sie wird in Dovecot in der conf.d/10-auth.conf inkludiert.
In Zeile 10-15 ist die passdb mit driver = pam aktiv. Damit versucht Dovecot also die Authentifizierung gegen pam. Die aber scheitert, weil es für die Mail-User keine Systemuser gibt.
Durch den ersten Login-Versuch gegen pam gibt es natürlich einen Logeintrag und wenn man fail2ban ziemlich knapp konfiguriert hat, dann gibts einen ban auf die IP vom Request.
Ohne fail2ban fällt das gar nicht auf, weil dovecot dann einfach weitermacht und den Login gegen die Froxlor-DB ausprobiert (und dann auch Erfolg hat).
Da ich (und vermutlich die meisten mit dem normalen Froxlor-Setup) keine pam Authentifizierung (oder noch andere, wobei nur pam per Dovecot-default aktiv ist) für Dovecot brauchen, habe ich den Include in der 10-auth.conf mit # auskommentiert.
Damit wird nur noch der SQL Login versucht, es gibt keinen "unknown user"-Log und fail2ban hält die Finger still.
Ich habe mir auch nochmal die Installationsdoku und die Konfiguration angesehen und habe dazu nirgends einen Hinweis gefunden, dass pam deaktiviert werden sollte / könnte.
Falls ich es doch mehrmalig überlesen habe, entschuldige ich mich :). Oder gibt es einen anderen Grund, dass pam unbedingt aktiv sein sollte? Ich konnte für mein ziemliches Standard-Setup keinen Grund finden.
Vielleicht hilft es ja jemand, der sich damit auch herumärgert =).
Question
mbanse
Gude,
ich habe vor zirka einem Monat einen neuen Server aufgesetzt, Installation erfolgte mit Debian 12 und ansonsten nach der Froxlor-Doku.
Vorgestern ist mir aufgefallen, dass ich fail2ban vergessen habe mit zu konfigurieren. Lief zwar, aber es waren keine Dienste aktiviert.
Ich tickerte meine Dienste in die fail2ban Konfiguration und merkte heute, dass meine IP gesperrt wurde, da es zu viele fehlerhafte Logins gab.
Ich forschte etwas und stieß darauf, dass Dovecot mit der Anmeldung über pam scheiterte, anschließend die SQL authentifizierung gegen die Froxlor-Datenbank aber erfolgreich klappte.
Ursache dafür ist die Konfiguration conf.d/auth-system.conf.ext.
Sie wird in Dovecot in der conf.d/10-auth.conf inkludiert.
In Zeile 10-15 ist die passdb mit driver = pam aktiv. Damit versucht Dovecot also die Authentifizierung gegen pam. Die aber scheitert, weil es für die Mail-User keine Systemuser gibt.
Durch den ersten Login-Versuch gegen pam gibt es natürlich einen Logeintrag und wenn man fail2ban ziemlich knapp konfiguriert hat, dann gibts einen ban auf die IP vom Request.
Ohne fail2ban fällt das gar nicht auf, weil dovecot dann einfach weitermacht und den Login gegen die Froxlor-DB ausprobiert (und dann auch Erfolg hat).
Da ich (und vermutlich die meisten mit dem normalen Froxlor-Setup) keine pam Authentifizierung (oder noch andere, wobei nur pam per Dovecot-default aktiv ist) für Dovecot brauchen, habe ich den Include in der 10-auth.conf mit # auskommentiert.
Damit wird nur noch der SQL Login versucht, es gibt keinen "unknown user"-Log und fail2ban hält die Finger still.
Ich habe mir auch nochmal die Installationsdoku und die Konfiguration angesehen und habe dazu nirgends einen Hinweis gefunden, dass pam deaktiviert werden sollte / könnte.
Falls ich es doch mehrmalig überlesen habe, entschuldige ich mich :). Oder gibt es einen anderen Grund, dass pam unbedingt aktiv sein sollte? Ich konnte für mein ziemliches Standard-Setup keinen Grund finden.
Vielleicht hilft es ja jemand, der sich damit auch herumärgert =).
Grüße
Montgomery
Link to comment
Share on other sites
3 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now