Обновление от 12/02/2016:
Короткая заметка по настройке защиты OTRS от подбора пароля (брутфорс) с помощью Fail2Ban.
Fail2Ban отслеживает изменения в лог файлах и как только видит несколько попыток подбора пароля, блокирует IP адрес атакующего и оповещает администратора о данном событии.
По умолчанию OTRS пишет все события в SysLog (/var/log/messages), его мы и будем анализировать с помощью Fail2Ban (можно указать другой log файл для событий: Framework -> Core::Log).
Fail2Ban фильтр для OTRS 4
# Fail2Ban filter for OTRS 4
#
[INCLUDES]
before = common.conf
[Definition]
failregex = ^.*authentication with wrong Pw!!! \(Method: sha256, REMOTE_ADDR: <HOST>\)$
^.*Authentication with wrong Pw!!! \(REMOTE_ADDR: <HOST>\)$
Конфигурация Fail2Ban
...
#
# JAILS
#
[otrs-iptables]
enabled = true
filter = otrs
action = iptables[name=OTRS, port=80, protocol=tcp]
sendmail-whois[name=OTRS, dest=your@email.ru]
logpath = /var/log/messages
## если в течении 1 часа
findtime = 3600
## произведено 5 неудачных попыток логина
maxretry = 5
## то банить IP на 24 часа
bantime = 86400
Перезапускаем fail2ban.
Настройка OTRS 5
В OTRS 5 по умолчанию не делаются записи в лог файл о неудачных попытках аутентификации.
Необходимо зайти в «Конфигурация системы» и в меню «Framework -> Core::Log» найти пункт «MinimumLogLevel«, в нём указать «debug«.
OTRS 5. MinimumLogLevel
The following two tabs change content below.
В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация - VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.
Latest posts by Андрей Торженов (see all)
- Куда переходить с Helpdesk OTRS? Альтернативы OTRS - 27/02/2022
- Windows 11. Не работает обновление, не входит в OneDrive, OneNote и другие Microsoft сервисы - 29/01/2022
- Попытка взлома Mikrotik? - 24/12/2021
- После обновления до Proxmox 7.1 не запускаются виртуальные машины - 28/11/2021
- libflashplayer.so пропатченный от Time bomb - 11/02/2021