Deshabilitar CSF/LFD en un dominio especifico

Buenas tardes,

Estoy teniendo un cliente al cual el firewall le esta bloqueando por repetidos accesos no autorizados al correo.

Aunque no me guste la practica, me pide que deshabilitemos el firewall para que no le ocurra. ¿Existe alguna manera de colocar en "lista blanca" a un dominio para que no se bloquee la ip desde la que se realice la peticion?

CODE, HTML o PHP Insertado:

Time: Wed Nov 8 10:11:53 2017 +0100
IP: XXX.XXX.XXX.XXX (ES/Spain/175.red-88-8-31.dynamicip.rima-tde.net)
Failures: 5 (cpanel)
Interval: 3600 seconds
Blocked: Permanent Block

Log entries:

[2017-11-08 10:11:13 +0100] info [webmaild] XXX.XXX.XXX.XXX - info@example.com "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
[2017-11-08 10:11:24 +0100] info [webmaild] XXX.XXX.XXX.XXX - info@example.com "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
[2017-11-08 10:11:28 +0100] info [webmaild] XXX.XXX.XXX.XXX - info@example.com "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
[2017-11-08 10:11:46 +0100] info [webmaild] XXX.XXX.XXX.XXX - info@example.com "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
[2017-11-08 10:11:50 +0100] info [webmaild] XXX.XXX.XXX.XXX - info@example.com "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect

Gracias

 

Lo único que puedes hacer es poner en lista blanca la IP de ese cliente.
CSF actúa a nivel global de servidor, no a nivel de dominios.

 

El problema es que ya me lo vi venir. Tienen ip dinámica. Le puse en lista blanca y lo he vuelto a hacer, pero en cuanto cambie de ip volverá a ocurrir.

 

Recuerdo haberlo usado hacie tiempo, aunque no recuerdo si con éxito o fracaso, pero CSF si que tiene una opción para ignorar los procesos vinculados a un usuario concreto, las tienes en:

/etc/csf/csf.pignore

Añades:

user:nombre de usuario del sistema al final del archivo y reinicias csf.

No obstante ten en cuenta que si funciona, dejará vulnerable al usuario, por lo que perderá también la protección contra ataques de fuerza bruta que reciba y que no sean zarpazos de tu cliente.

 

* añado: No creo que funcione con el webmail, porque recuerdo que lo utilizamos para otra cosa.. pero el no ya lo tienes y por probarlo no pierdes nada.. ;-)

 

¿Y no es mejor darle algún "desbloqueador" para que cada vez que vea que si IP se ha bloqueado acceda y la pueda desbloquear?

Por otro lado tu cliente es un poco torpe, ¿no? ¿Tanto se confunde de contraseña?

 

Failures: 5 (cpanel)
Interval: 3600 seconds

Tienes configurado LFD para que a 5 intentos fallidos en una hora genere un bloqueo permanente, esto en mi opinión es algo agresivo y sin duda generará tickets innecesarios (por alguna extraña razón los clientes piensan que si ingresan repetidamente el mismo password errado terminará funcionando)

Sugiero algo como:
5 intentos en 15 minutos y bloqueas 15 minutos
si hay 4 bloqueos temporales en X horas (digamos dos) procedes a bloquear permamentemente

La idea de los bloqueos es diferencias humanos y bots de fuerza bruta no castigar usuarios olvidadizos

 

No es una opción valida. Como ya sabemos, existen clientes mas o menos exigentes, y ya ofrecer una solucion peor a la que tenia contratada antes para ellos es ir para atrás.

Curiosamente deshabilitar la protección para ellos no es ir para atrás.

Cierto, es la configuracion que lfd trae por defecto.

Se como configurar para que en vez de 5 por ejemplo sean 10 pero, ¿que parametros tendria que modificar para conseguir lo que me comentas?

Creo que seria la opción valida.

 

Adjunto los ajustes relevantes:

CODE, HTML o PHP Insertado:

LF_TRIGGER = "0"
LF_TRIGGER_PERM = "0"
LF_SELECT = "1"
LF_CPANEL = "5"
LF_CPANEL_PERM = "900"
LF_PERMBLOCK = "1"
LF_PERMBLOCK_INTERVAL = "7200"
LF_PERMBLOCK_COUNT = "4"

El resultado es:

Si el cliente equivoca el password más de 5 veces es bloqueado solo de cPanel por 15 minutos
Si hay 4 bloqueos temporales en dos horas la IP es bloqueada permanentemente

Ajusta los valores a tus necesidades específicas, lo única condición para que funcion es:

LF_PERMBLOCK_INTERVAL > LF_CPANEL_PERM * LF_CPANEL

 

Muchas gracias por la ayuda. La configuracion de CSF es bastante extensa y me estaba volviendo loco.

Una solución mucho mejor que deshabilitar el firewall

 

Otra opción (menos agradable pero útil en ciertas ocasiones), sería añadir el netblock parcial o completo del usuario, por ejemplo, si sus IPs han sido 10.20.30.40, 10.20.50.60, 10.70.50.60 podrías editar el archivo csf.ignore, añadiendo:

10.20.30.0/24 (bloquea 10.20.30.0-255)
10.20.0.0/16 (bloquea 10.20.0.0 a 10.20.255.255)
10.0.0.0/8 (bloquea de 10.0.0.0 a 10.255.255.255)

 

Puede ser otra opción si, de esa manera no tenemos todo el sitio desprotegido.

El cliente sigue teniendo intentos de inicio de sesión erróneos. Me ha dicho que hace poco cambio la contraseña del correo. He ido donde el y le he restablecido en todos los equipos las claves guardadas porque me da a mi que estaban intentando acceder con la anterior guardada en el navegador.

Al final la configuración la he dejado así:

CODE, HTML o PHP Insertado:

LF_TRIGGER = "0"
LF_TRIGGER_PERM = "0"
LF_SELECT = "1"
LF_CPANEL = "15"
LF_CPANEL_PERM = "900"
LF_PERMBLOCK = "1"
LF_PERMBLOCK_INTERVAL = "21600"
LF_PERMBLOCK_COUNT = "4"

15 intentos cada 15 minutos. Si pasados los 5 intentos temporales se le bloquea pasa a 6 horas de bloqueo. Creo que esta correcto.

 

Lapsus...

Era *ignora*

 

Nada, nos entendimos bien.