Вопросы Теги

Постфикс на Ubuntu не пошлет электронные письма “Никакой такой файл или каталог '/etc/postfix/cacert.pem'”

Предупреждение

Поскольку отрицательная оценка, вероятно, подсказывает, этот подход не популярен. Это - экстремальное значение - это может нанести больше ущерба затем, Вы уже испытываете. С другой стороны, если Ваш сервер пойдет 100% вниз в результате DDOS затем, то следующий подход Блокировки обеспечит, некоторые уменьшают к Вашей ситуации.

Попробуйте это, только если ничто иное не помогает.

Подход Блокировки

Установите временное правило брандмауэра, которое отбросит новые входящие соединения местом назначения (IP Вашего сервера). Ваш сервер отбросит новые соединения в течение периода времени атаки.

Чего это достигло бы

Это подавит загрузку сервера. Позвольте Вам управлять сервером во время нападения. Сохраните сервис доступным белому списку допустимых клиентов.

Возобновление сервиса периодически

Вы хотели бы удалить правило брандмауэра периодически в течение короткого промежутка времени. Это обеспечит шанс обнаружить, когда нападение будет закончено или когда это становится уменьшенным. После того как нападение по Вашему сценарию, должен удалить правило брандмауэра постоянно.

Белые списки

Можно добавить в белый список и Вы рабочие станции супервизора так, чтобы можно было получить доступ к серверу во время нападения.

Выведите список дюйм/с настоящих клиентов (хорошая вещь сделать в целом) и белый список, которые устанавливают.

  • Проанализируйте дюйм/с пользователей, предшествующих запуск DDOS от Ваших журналов доступа.
  • Сохраните список тех IP для который в любом моменте времени было решение для Капчи.

Некоторые законные клиенты будут иметь сервер в наличии для них. Пойдите для большего количества истинных положительных сторон - если Вы добавляете некоторые в белый список DDOSers затем никакое грандиозное предприятие.

Можно попытаться добавить большие блоки пробелов IP к белому списку. Посмотрите, сколько DDOSers можно обработать перед Вами, сервер начинает замедляться снова.

Другая идея белого списка

  1. Белый список большой блок дюйм/с. Давайте назовем это регионом A.
  2. Фигура, что является большей частью дюйм/с
  3. Регион блока A и ожидает в течение 20 минут (наиболее реальные пользователи бросят пробовать к тому времени),
  4. Регион белого списка снова получение списка активных пользователей снова.
  5. Сравните 2 списка - IP, которые все еще загоняют, наиболее вероятны, DDOSers - блокируют их и добавляют все остальное в белый список в состоянии A.
  6. Повторите шаги 1 - 6 для следующего большого блока дюйм/с (регион B).
2
задан 13 April 2017 в 15:22
1 ответ

(На основе записей журнала, представленных в комментарии ) 

Apr  9 18:25:41 elclanrs postfix/smtp[13034]: cannot load Certificate Authority data: disabling TLS support
Apr  9 18:25:41 elclanrs postfix/smtp[13034]: warning: TLS library problem: 13034:error:02001002:system library:fopen:No such file or directory:bss_file.c:169:fopen('/etc/postfix/cacert.pem','r'):
[...]
Apr  9 18:25:42 elclanrs postfix/smtp[13034]: 249AD3FFAE: to=<elclanrs@elclanrs.spacirdesigns.com>, relay=smtp.gmail.com[173.194.68.109]:587, delay=0.29, delays=0.03/0/0.21/0.04, dsn=5.7.0, status=bounced (host smtp.gmail.com[173.194.68.109] said: 530 5.7.0 Must issue a STARTTLS command first. ku2sm27631513qeb.4 - gsmtp (in reply to MAIL FROM command))

  1. Исправьте ваш smtp_tls_CAfile
    Проверьте Postfix: Настройка Gmail как ретранслятора (Ubuntu)
    Предлагается smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

  2. Gmail предлагает только SMTP AUTH только через зашифрованные соединения (после STARTTL или через SMTPS).

  3. Пакет Debian, предоставляющий данные CA называется ca-сертификаты

7
ответ дан 3 December 2019 в 09:05

Теги

Похожие вопросы