Здравствуйте.
Имеется почтовый сервер на основе Ubuntu Server с работающими Postfix Dovecot и Squirrelmail. Доступ по IMAP открыт только для локальной сети. Но некоторым сотрудникам нужно работать вне офиса и я настроил вебинтерфейс. Но фактически это является дыркой в системе безопасности. Можно бесконечно подбирать пароли к учётным записям. Скажите реально ли в Dovecot (именно он проводит авторизацию) сделать ограничение на количество неправильно введённых паролей? Может кто-нибудь подскажет другие методы защиты?
Временная блокировка записи при неправильном вводе пароля (dovecot + squirrelmail)
Модераторы: SLEDopit, Модераторы разделов
-
TonnyBennet
- Сообщения: 230
- ОС: Ubuntu Server 9.10
-
Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: Временная блокировка записи при неправильном вводе пароля
fail2ban может работать с dovecot. хотя конечно может и в самом dovecot чтонить есть.
пароли у вас как хряняться, в базе данных, в лдапе, в файлах? авторизация не через pam случаем?
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
-
TonnyBennet
- Сообщения: 230
- ОС: Ubuntu Server 9.10
Re: Временная блокировка записи при неправильном вводе пароля
Пароли хранятся в My SQL в зашифрованном виде. Авторизация не через PAM.
-
ivan2ksusr
- Сообщения: 882
- ОС: Mac OS X, openSUSE
Re: Временная блокировка записи при неправильном вводе пароля
Но некоторым сотрудникам нужно работать вне офиса и я настроил вебинтерфейс
Если уж нужна паранойя, то для таких случая существует openvpn/vpn со всеми вытекающими последствиями, ну а так можно воспользоваться поискам на предмет dovecot ssl/tls imap, как пример: http://www.mahno.su/freebsd/mail/ssl-tls-v...ovecot-i-apache
-
TonnyBennet
- Сообщения: 230
- ОС: Ubuntu Server 9.10
Re: Временная блокировка записи при неправильном вводе пароля
ivan2ksusr писал(а): ↑17.04.2012 12:23Но некоторым сотрудникам нужно работать вне офиса и я настроил вебинтерфейс
Если уж нужна паранойя, то для таких случая существует openvpn/vpn со всеми вытекающими последствиями, ну а так можно воспользоваться поискам на предмет dovecot ssl/tls imap, как пример: http://www.mahno.su/freebsd/mail/ssl-tls-v...ovecot-i-apache
VPN есть но всем рассказывать как его настроить ради почты не сильно хочется. ssl тоже настроен но т.к. сертификат выдаётся для клиента, то его получает вебморда и дальше продолжает подбирать пароль.