1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Deshabilitar CSF/LFD en un dominio especifico

Tema en 'Asuntos Técnicos' iniciado por 50l3r, 8 Nov 2017.

  1. 50l3r

    50l3r Usuario activo

    Buenas tardes,

    Estoy teniendo un cliente al cual el firewall le esta bloqueando por repetidos accesos no autorizados al correo.

    Aunque no me guste la practica, me pide que deshabilitemos el firewall para que no le ocurra. ¿Existe alguna manera de colocar en "lista blanca" a un dominio para que no se bloquee la ip desde la que se realice la peticion?

    CODE, HTML o PHP Insertado:
    Time: Wed Nov 8 10:11:53 2017 +0100
    IP: XXX.XXX.XXX.XXX (ES/Spain/175.red-88-8-31.dynamicip.rima-tde.net)
    Failures: 5 (cpanel)
    Interval: 3600 seconds
    Blocked: Permanent Block
    
    Log entries:
    
    [2017-11-08 10:11:13 +0100] info [webmaild] XXX.XXX.XXX.XXX - [email protected] "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
    [2017-11-08 10:11:24 +0100] info [webmaild] XXX.XXX.XXX.XXX - [email protected] "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
    [2017-11-08 10:11:28 +0100] info [webmaild] XXX.XXX.XXX.XXX - [email protected] "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
    [2017-11-08 10:11:46 +0100] info [webmaild] XXX.XXX.XXX.XXX - [email protected] "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
    [2017-11-08 10:11:50 +0100] info [webmaild] XXX.XXX.XXX.XXX - [email protected] "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN webmaild: user password incorrect
    Gracias
     
  2.  
  3. egrueda

    egrueda Usuario activo

    Lo único que puedes hacer es poner en lista blanca la IP de ese cliente.
    CSF actúa a nivel global de servidor, no a nivel de dominios.
     
  4. 50l3r

    50l3r Usuario activo

    El problema es que ya me lo vi venir. Tienen ip dinámica. Le puse en lista blanca y lo he vuelto a hacer, pero en cuanto cambie de ip volverá a ocurrir.
     
  5. marandia

    marandia Usuario activo

    Recuerdo haberlo usado hacie tiempo, aunque no recuerdo si con éxito o fracaso, pero CSF si que tiene una opción para ignorar los procesos vinculados a un usuario concreto, las tienes en:

    /etc/csf/csf.pignore

    Añades:

    user:nombre de usuario del sistema al final del archivo y reinicias csf.

    No obstante ten en cuenta que si funciona, dejará vulnerable al usuario, por lo que perderá también la protección contra ataques de fuerza bruta que reciba y que no sean zarpazos de tu cliente.
     
  6. marandia

    marandia Usuario activo

    * añado: No creo que funcione con el webmail, porque recuerdo que lo utilizamos para otra cosa.. pero el no ya lo tienes y por probarlo no pierdes nada.. ;-)
     
  7. marin

    marin Usuario activo

    ¿Y no es mejor darle algún "desbloqueador" para que cada vez que vea que si IP se ha bloqueado acceda y la pueda desbloquear?

    Por otro lado tu cliente es un poco torpe, ¿no? ¿Tanto se confunde de contraseña?
     
  8. Datacenter1

    Datacenter1 Usuario activo

    Failures: 5 (cpanel)
    Interval: 3600 seconds

    Tienes configurado LFD para que a 5 intentos fallidos en una hora genere un bloqueo permanente, esto en mi opinión es algo agresivo y sin duda generará tickets innecesarios (por alguna extraña razón los clientes piensan que si ingresan repetidamente el mismo password errado terminará funcionando)

    Sugiero algo como:
    5 intentos en 15 minutos y bloqueas 15 minutos
    si hay 4 bloqueos temporales en X horas (digamos dos) procedes a bloquear permamentemente

    La idea de los bloqueos es diferencias humanos y bots de fuerza bruta no castigar usuarios olvidadizos
     
  9. 50l3r

    50l3r Usuario activo

    No es una opción valida. Como ya sabemos, existen clientes mas o menos exigentes, y ya ofrecer una solucion peor a la que tenia contratada antes para ellos es ir para atrás.

    Curiosamente deshabilitar la protección para ellos no es ir para atrás.

    Cierto, es la configuracion que lfd trae por defecto.

    Se como configurar para que en vez de 5 por ejemplo sean 10 pero, ¿que parametros tendria que modificar para conseguir lo que me comentas?

    Creo que seria la opción valida.
     
  10. Datacenter1

    Datacenter1 Usuario activo

    Adjunto los ajustes relevantes:

    CODE, HTML o PHP Insertado:
    LF_TRIGGER = "0"
    LF_TRIGGER_PERM = "0"
    LF_SELECT = "1"
    LF_CPANEL = "5"
    LF_CPANEL_PERM = "900"
    LF_PERMBLOCK = "1"
    LF_PERMBLOCK_INTERVAL = "7200"
    LF_PERMBLOCK_COUNT = "4"
    
    El resultado es:

    Si el cliente equivoca el password más de 5 veces es bloqueado solo de cPanel por 15 minutos
    Si hay 4 bloqueos temporales en dos horas la IP es bloqueada permanentemente

    Ajusta los valores a tus necesidades específicas, lo única condición para que funcion es:

    LF_PERMBLOCK_INTERVAL > LF_CPANEL_PERM * LF_CPANEL
     
    A 50l3r le gusta esto.
  11. 50l3r

    50l3r Usuario activo

    Muchas gracias por la ayuda. La configuracion de CSF es bastante extensa y me estaba volviendo loco.

    Una solución mucho mejor que deshabilitar el firewall :)
     
    A Datacenter1 le gusta esto.
  12. Sphyr0

    Sphyr0 Usuario activo

    Otra opción (menos agradable pero útil en ciertas ocasiones), sería añadir el netblock parcial o completo del usuario, por ejemplo, si sus IPs han sido 10.20.30.40, 10.20.50.60, 10.70.50.60 podrías editar el archivo csf.ignore, añadiendo:

    10.20.30.0/24 (bloquea 10.20.30.0-255)
    10.20.0.0/16 (bloquea 10.20.0.0 a 10.20.255.255)
    10.0.0.0/8 (bloquea de 10.0.0.0 a 10.255.255.255)
     
    A 50l3r le gusta esto.
  13. 50l3r

    50l3r Usuario activo

    Puede ser otra opción si, de esa manera no tenemos todo el sitio desprotegido.

    El cliente sigue teniendo intentos de inicio de sesión erróneos. Me ha dicho que hace poco cambio la contraseña del correo. He ido donde el y le he restablecido en todos los equipos las claves guardadas porque me da a mi que estaban intentando acceder con la anterior guardada en el navegador.

    Al final la configuración la he dejado así:

    CODE, HTML o PHP Insertado:
    LF_TRIGGER = "0"
    LF_TRIGGER_PERM = "0"
    LF_SELECT = "1"
    LF_CPANEL = "15"
    LF_CPANEL_PERM = "900"
    LF_PERMBLOCK = "1"
    LF_PERMBLOCK_INTERVAL = "21600"
    LF_PERMBLOCK_COUNT = "4"
    15 intentos cada 15 minutos. Si pasados los 5 intentos temporales se le bloquea pasa a 6 horas de bloqueo. Creo que esta correcto.
     
  14. Sphyr0

    Sphyr0 Usuario activo

    Lapsus... :omgh

    Era *ignora* :-D
     
  15. 50l3r

    50l3r Usuario activo

    Nada, nos entendimos bien.
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·