登录跟踪是lfd的的延伸,它能跟踪POP3和IMAP登录,并限制每个IP地址每个账户每小时X个连接。它使用iptables阻止攻击者至适当的协议端口,每小时刷新一次,并重新计算登录次数。这些阻止都是临时的,可以通过手动重启csf删除。
有两种设置,一种是POP3,另一种是IMAP登录。由于很多用户登录IMAP执行协议交易(他们没有必要反复登录,但是不能避免不良客户端编程!),因此通常不跟踪IMAP。如果您真的需要限制IMAP登录,最好将登录限制设置到很高。
如果您想知道lfd何时临时阻止了某个IP地址,您可以启动邮件跟踪提醒选项(默认设置)。
您也可以使用正规表达匹配添加您自己的登录失败跟踪。详情请参阅 /etc/csf/regex.custom.pm。
重要提醒:为了让SSHD登录跟踪顺利启动,您要确保/etc/ssh/sshd_config的UseDNS已禁用:
UseDNS no
这样sshd就重新启动了。