dans l’idée de mettre en place un fail2ban pour éviter les brute force sur le service IMAP, je me suis rendu compte que je n’avais en fait aucun log au niveau du service immédiatement exposé, c’est à dire nginx sur le noeud edge.
J’ai bien les logs de tout ce qui passe par http (/dav…, /Microsoft-Server-ActiveSync…) mais rien pour tout ce qui est proxy mail.
Avez-vous une idée de comment activer cela, aucun exemple de semble le préciser.
De plus, la config de log est définie dans nginx.conf et ensuite héritée dans tous les autres fichiers de config tel que je le comprends.
J’ai essayé d’activer via une directive access_log au niveau du bloc mail ou de chaque bloc server mais j’ai une erreur (error.log) du type ‘“access_log” directive is not allowed here’
Il est possible d’activer les logs au niveau du proxy mail en ajoutant :
error_log /var/log/nginx/imap.log info;
Le plugin POP/IMAP ne gère pas l’access_log mais il écrit toutes les infos intéressantes dans le error_log avec un niveau ‘INFO’, cela génère par exemple sur deux tentatives de connexions :
A noter qu’il existe un plugin qui permet de limiter les attaques par bruteforce : https://marketplace.bluemind.net/addons/72/
L’avantage du plugin est qu’il prend en compte tous les types de connexions, pas seulement imap.