Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
kb [2012/11/15 15:32] flacco [Gegenmaßnahmen] |
kb [2014/03/18 08:29] flacco [Letzte Etappe - Dovecot] |
||
|---|---|---|---|
| Zeile 311: | Zeile 311: | ||
| Nach 4 Tagen war die Liste der Angreifer bereits über 2000 Einträge lang. | Nach 4 Tagen war die Liste der Angreifer bereits über 2000 Einträge lang. | ||
| + | Die Kombination aus oben gezeigter Firewall-Regel und dem hier vorgestellten Blackhole-Mechanismus lies die ausgehende tägliche Datenmenge des betroffenen Servers wieder auf Normalmaß schrumpfen. Trotzdem war dies nur ein Teilerfolg, da die Firewall-Regel auch reguläre Anfragen blockiert hat. | ||
| + | |||
| + | Die wirklich funktionierende Lösung des Problems brachte ein Patch für //**bind**// von Vernon Shryver und Paul Vixie, der ein per Client Rate-Limiting über die Konfiguration des Nameservers selbst erlaubt. Genau beschrieben wird die Funktionsweise des Patches auf der zugehörigen Internet-Seite: [[http://www.redbarn.org/dns/ratelimits]] | ||
| + | |||
| + | Im Gegensatz zum Firewall-Ansatz, wird hierbei jeder anfragende Client individuell betrachtet. D.h. Bleibt ein Client mit seinen Anfragen unter einer einstellbaren Anzahl pro Sekunde werden alle Anfragen beantwortet, überschreitet er sein Limit, antwortet //**bind**// einfach nicht mehr. | ||
| + | |||
| + | Entsprechend gepatchte //**bind**// Versionen stellen wir über unsere invis-Repositories im OpenBuildService zur Verfügung, auch noch für ältere openSUSE-Versionen (11.1, 11.2 und 11.3). | ||
| + | |||
| + | Die Konfiguration ist denkbar einfach. In der Options-Sektion der Datei "/etc/named.conf" genügt folgender Eintrag: | ||
| + | |||
| + | <code> | ||
| + | options { | ||
| + | ... | ||
| + | rate-limit { | ||
| + | responses-per-second 25; | ||
| + | window 5; | ||
| + | }; | ||
| + | ... | ||
| + | }; | ||
| + | </code> | ||
| + | |||
| + | Näheres zu den Parametern der "rate-limit" Direktive ist auf oben genannter Internet-Seite nachzulesen. | ||
| + | |||
| + | Die Kombination aus Blacklist und Rate-Limit ohne Firewall-Regel funktioniert hervorragend. | ||
| ===== Postfix, Amavis & Dovecot ===== | ===== Postfix, Amavis & Dovecot ===== | ||
| Zeile 531: | Zeile 555: | ||
| Alle weiteren Dateien sind logisch unterteilt im Verzeichnis "/etc/dovecot/conf.d" zu finden. | Alle weiteren Dateien sind logisch unterteilt im Verzeichnis "/etc/dovecot/conf.d" zu finden. | ||
| + | ===== ISC DHCP LDAP Schema nach Samba 4 LDAP überführen ===== | ||
| + | Suchen und ersetzen der Attributnamen und Objektklassen: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # cat README.ldap | sed /dhcp[A-Z]/s/dhcp/iscDchp/g > ad.README.ldap | ||
| + | </code> | ||