分類彙整: ubuntu 伺服器管理

【Fail2ban 進階實戰】化被動為主動!打造專屬 Telegram 遠端控制中心 (支援 Ban/Unban 指令)

發佈日期: 作者:
回覆

透過我之前的文章(fail2ban與telegram連動),我介紹了如何讓 Fail2ban 在抓到壞人時,即時推播通知到我們的 Telegram 上。但身為一個伺服器管理員,只有「看」是不夠的。

試想一個情境:如果你在外面用手機網路連回伺服器,不小心密碼打錯太多次,自己被 Fail2ban 鎖在門外怎麼辦? 難道要等到回家用固定 IP 才能解鎖嗎?

這篇進階教學,將帶你用一小段 Python 腳本,把你的 Telegram 機器人升級成 「伺服器專屬控制中心」。你將可以直接在 Telegram 輸入 /unban 解鎖自己,或是輸入 /status 隨時查看各個監獄的狀況!

⚠️ 核心安全觀念:專屬識別

既然要讓 Telegram 可以對伺服器下達系統指令,安全性就是第一考量。 我們接下來寫的程式碼,會內建「身分驗證」機制。機器人只會認你的 Chat ID,如果路人甲亂連你的機器人下指令,系統會直接無視,確保伺服器的絕對安全。

你需要準備好:

  1. 你的 Telegram Bot Token (從 BotFather 取得)
  2. 你的專屬 Chat ID

步驟一:建立 Python 虛擬環境

為了不干擾 Ubuntu 系統預設的 Python 環境,我們為機器人建立一個獨立的家。請依序執行以下指令:

# 安裝 venv 虛擬環境套件
sudo apt update && sudo apt install python3-venv -y

# 建立機器人專屬資料夾並進入
sudo mkdir -p /opt/f2b-tg-bot
cd /opt/f2b-tg-bot

# 建立虛擬環境
sudo python3 -m venv venv

# 進入虛擬環境並安裝 Telegram 機器人專用套件
sudo ./venv/bin/pip install pyTelegramBotAPI

步驟二:撰寫核心控制腳本 (附避坑指南)

接下來我們要寫入機器人的靈魂。

建立並編輯 Python 檔案:

sudo nano /opt/f2b-tg-bot/bot.py

將以下程式碼貼上:

import telebot
import subprocess
import time

# ⚠️ 注意這裡!必須使用單引號或雙引號將字串包起來!
TOKEN = '你的_BOT_TOKEN'
ALLOWED_CHAT_ID = '你的_CHAT_ID' # 非常重要!防駭客關鍵

bot = telebot.TeleBot(TOKEN)

# 安全檢查:只允許你的 Chat ID 執行指令
def is_authorized(message):
    return str(message.chat.id) == str(ALLOWED_CHAT_ID)

@bot.message_handler(commands=['start', 'help'])
def send_welcome(message):
    if not is_authorized(message): return
    help_text = (
        "🛡️ **伺服器 Fail2ban 控制中心**\n\n"
        "可用指令:\n"
        "`/status` - 查看 Fail2ban 總覽\n"
        "`/jail <監獄名稱>` - 查看特定監獄狀態 (例如 /jail recidive)\n"
        "`/unban <IP>` - 從所有監獄中解鎖該 IP\n"
        "`/ban <監獄名稱> <IP>` - 手動將 IP 關入特定監獄"
    )
    bot.reply_to(message, help_text, parse_mode="Markdown")

@bot.message_handler(commands=['status'])
def check_status(message):
    if not is_authorized(message): return
    result = subprocess.getoutput("fail2ban-client status")
    bot.reply_to(message, f"```\n{result}\n```", parse_mode="Markdown")

@bot.message_handler(commands=['jail'])
def check_jail(message):
    if not is_authorized(message): return
    try:
        jail_name = message.text.split()[1]
        result = subprocess.getoutput(f"fail2ban-client status {jail_name}")
        bot.reply_to(message, f"```\n{result}\n```", parse_mode="Markdown")
    except IndexError:
        bot.reply_to(message, "請指定監獄名稱,例如:`/jail recidive`", parse_mode="Markdown")

@bot.message_handler(commands=['unban'])
def unban_ip(message):
    if not is_authorized(message): return
    try:
        ip = message.text.split()[1]
        result = subprocess.getoutput(f"fail2ban-client unban {ip}")
        bot.reply_to(message, f"✅ 解鎖結果:\n```\n{result}\n```", parse_mode="Markdown")
    except IndexError:
        bot.reply_to(message, "請提供 IP,例如:`/unban 192.168.1.1`", parse_mode="Markdown")

@bot.message_handler(commands=['ban'])
def ban_ip(message):
    if not is_authorized(message): return
    try:
        parts = message.text.split()
        jail_name = parts[1]
        ip = parts[2]
        result = subprocess.getoutput(f"fail2ban-client set {jail_name} banip {ip}")
        bot.reply_to(message, f"⛔ 封鎖結果:\n```\n{result}\n```", parse_mode="Markdown")
    except IndexError:
        bot.reply_to(message, "格式錯誤,請使用:`/ban 監獄名稱 IP`", parse_mode="Markdown")

# 讓機器人持續運作,遇到網路錯誤自動重試
while True:
    try:
        bot.polling(none_stop=True, interval=1, timeout=20)
    except Exception as e:
        time.sleep(5)

🚨 常見新手錯誤 (踩坑經驗分享)

我自己一開始在填寫 TOKENALLOWED_CHAT_ID 時,是直接把數字貼上去,像這樣: TOKEN = 9876543210:AAG... 這會導致服務啟動失敗,並在日誌中噴出 SyntaxError: invalid syntax 錯誤! 原因: 在 Python 中,這些金鑰與 ID 屬於「字串」,必須使用單引號 '' 或雙引號 "" 將它們包起來。請務必再三檢查第 6、7 行的格式!

步驟三:設定為系統背景服務 (Systemd)

為了讓這支程式在伺服器重開機時能自動啟動,且在背景穩定運行,我們要把它註冊為系統服務。

建立服務設定檔:

sudo nano /etc/systemd/system/f2b-tg-bot.service

貼上以下內容:

[Unit]
Description=Fail2ban Telegram Control Bot
After=network.target fail2ban.service

[Service]
Type=simple
User=root
WorkingDirectory=/opt/f2b-tg-bot
ExecStart=/opt/f2b-tg-bot/venv/bin/python /opt/f2b-tg-bot/bot.py
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

步驟四:啟動機器人與成果驗收

最後,重新載入系統守護行程並啟動服務:

# 重新載入設定
sudo systemctl daemon-reload

# 啟動並設定開機自啟動
sudo systemctl enable --now f2b-tg-bot

# 檢查運作狀態
sudo systemctl status f2b-tg-bot

如果看到綠色的 active (running),恭喜你,設定大功告成!

現在你可以打開 Telegram,對著你的機器人輸入指令:

📱 拿起手機測試吧!

  • 傳送 /help 呼叫功能選單。
  • 傳送 /status 看看你的伺服器目前有幾個監獄正在運作。
  • 最棒的是,以後如果有朋友或自己的 IP 不小心被鎖了,只要優雅地拿出手機輸入 /unban 1.2.3.4,一秒鐘就能解決問題!

透過這個實作,我們不僅掌握了 Fail2ban 的防禦機制,更將伺服器的管理權限完美地延伸到了我們的手機上。這才是真正現代化、自動化的伺服器管理體驗!

【Fail2ban 進階實戰】效能與通知雙重升級:導入 ipset 與 Telegram 靜音防轟炸設定

發佈日期: 作者:
回覆

在上一篇 [【Fail2ban 進階實戰】設定 recidive 累犯監獄,將惡意 IP 永久打入冷宮] 中,我們成功建立了一套能自動揪出死不悔改的攻擊者,並給予永久封鎖的防禦機制。

但隨著伺服器穩定運作,你可能會遇到兩個「甜蜜的煩惱」:

  1. 效能隱憂recidive 監獄累積了數十甚至數百個 IP,傳統的 iptables 一次寫入一條規則,當名單越來越長,防火牆比對封包的負擔也會隨之增加。
  2. 重啟轟炸:每次重開機或重啟 Fail2ban 服務時,系統會從資料庫把舊的黑名單重新載入,導致連動的 Telegram 機器人瞬間連發數十上百條「封鎖通知」,讓人不堪其擾。

這篇進階教學將帶你透過三個步驟,徹底解決這些痛點,讓你的伺服器防禦系統不僅強大,而且更輕量、更安靜!

步驟一:導入 ipset,將 O(n) 線性比對升級為 O(1) 哈希查詢

預設的 Fail2ban 會為每一個被封鎖的 IP 建立一條 iptables 規則。當封包進入伺服器時,系統必須由上而下逐一比對(這就是 O(n) 的線性搜尋)。當黑名單累積到上千筆時,會白白消耗 CPU 資源。

解決方案是改用 ipset。它會在核心建立一個哈希集合(Hash Table),不管集合裡有 10 個還是 10,000 個 IP,防火牆都只需要比對一次(O(1) 複雜度),效能極高。

1. 安裝 ipset

首先,確保你的 Ubuntu 伺服器已經安裝了該工具:

sudo apt update && sudo apt install ipset -y

2. 修改 recidive 監獄設定

開啟你的 /etc/fail2ban/jail.local,找到 [recidive] 區段,將 banaction 改為支援 ipset 的版本:

[recidive]
enabled = true
# 啟用 ipset 並封鎖所有通訊埠 (IPv4 & IPv6)
banaction = iptables-ipset-proto6-allports

# 直接呼叫 banaction 與自定義的 telegram 動作,並傳入監獄名稱參數
action = %(banaction)s
         telegram[name=recidive]

備註:這裡我們使用了 telegram[name=recidive],將監獄名稱當作參數傳遞給下一步的腳本,這對後續的客製化訊息非常重要。

步驟二:防重啟轟炸與動態訊息 (Telegram 腳本魔改)

接下來我們要解決「重開機就被 Telegram 洗版」的問題。

核心邏輯是:利用「時間差」來判斷。 當 Fail2ban 重啟時載入的舊 IP,其發生攻擊的時間(<time>)會是好幾個小時或幾天前;而真正新鮮的攻擊,時間差一定在幾秒鐘之內。

同時,我們也可以利用剛才傳入的 <name> 參數,讓 recidive(永久封鎖)和一般監獄(如 sshd)發出不同側重點的警報訊息。

修改 Telegram Action 設定

開啟你的 Telegram 動作設定檔(例如 /etc/fail2ban/action.d/telegram.conf),將 actionban 的區段修改如下:

[Definition]

actionban = now=$(date +%%s) \
t_int=$(echo "" | cut -d. -f1) \
diff=$(($now - $t_int)) \
if [ "$diff" -le 60 ]; then \
if [ "" = "recidive" ]; then \
MSG="[Fail2ban 永久封鎖]%%0A監獄:%%0A目標:%%0A結果:該 IP 已多次累犯,執行永久禁封"; \
else \
MSG="[Fail2ban 警報]%%0A監獄:%%0A目標:%%0A次數:第 次嘗試"; \
fi; \
curl -s -X POST "https://api.telegram.org/bot/sendMessage" \
-d chat_id= \
-d text="$MSG" -d parse_mode="HTML"; \
fi

(行尾的 \ 是續行符號,確保這些判斷式被視為同一道指令執行,後面絕對不能有空格。)

步驟三:關鍵程式碼解析 (為什麼要用 cut?)

在上面的腳本中,有一行非常關鍵的處理: t_int=$(echo "<time>" | cut -d. -f1)

為什麼需要這行? <time> 是 Fail2ban 傳遞給腳本的變數,代表攻擊發生的時間戳記(Timestamp)。但在某些 Fail2ban 版本中,這個時間戳會帶有小數點(包含毫秒),例如 1714521600.123

問題在於,Linux Shell 內建的數學運算 $(()) 不支援浮點數(小數)計算。如果不先處理,系統就會報錯導致通知發送失敗。

因此,我們引入了 cut 這個強大的文字處理工具:

  • echo "<time>":將帶有小數點的時間字串印出。
  • | (Pipe):將印出的字串丟給下一個指令處理。
  • cut -d.:告訴系統以「小數點 (.)」作為分隔符號(Delimiter)。
  • -f1:取得分隔後的第一個欄位(Field 1),也就是小數點前面的「整數」部分。

處理過後,純整數的 $t_int 就能順利與當前時間 $now 進行相減。只要時間差 ($diff) 小於等於 60 秒,系統才會判定這是「即時的新封鎖」並發送通知,完美過濾掉重啟時載入的舊資料!

驗證與總結

設定完成後,重新啟動 Fail2ban:

sudo systemctl restart fail2ban

你可以觀察到兩個明顯的改變:

  1. 你的 Telegram 靜悄悄的,再也不會因為重啟服務而遭受數十條訊息轟炸。
  2. 在終端機輸入 sudo ipset list,你會看到系統已經自動建立了一個名為 f2b-recidive 的集合,並且悄悄地將所有的惡意 IP 都關進了這個高效能的牢籠中。而在輸入 sudo iptables -L -n 時,原本落落長的規則也變得乾淨俐落。

打造噴射機級速度的 WordPress:Nginx FastCGI Cache 全攻略 (含預熱腳本與 404 報錯排除)

發佈日期: 作者:
回覆

前言:為什麼你的 WordPress 需要伺服器級快取?

在 1GB RAM 的小資型伺服器(如 AWS EC2 t3.micro)跑 WordPress,最常遇到的問題就是 PHP-FPM 與 MySQL 佔用過多資源,導致網頁載入緩慢。雖然快取外掛(如 WP Rocket)很方便,但最強大的優化其實是在 Nginx 層級。透過Nginx FastCGI Cache,Nginx 會將 PHP 產生的 HTML 直接存入 SSD。當訪客進入時,Nginx 直接發貨,完全跳過 PHP 運算,讓你的網站達成「毫秒級」開啟。

但這有一個致命弱點:沒人點過的頁面,就不會有快取。 導致第一位訪客(或 Google 爬蟲)進來時依然覺得慢。今天這篇文章將帶你從底層設定開始,一路配置到「首點即秒開」的自動化預熱系統。

第一階段:全局配置 (The Foundation)

首先,我們需要在 Nginx 的主設定檔中定義快取的「倉庫位置」與「規則」。

修改檔案: /etc/nginx/nginx.conf (或 /etc/nginx/conf.d/cache.conf) 放置位置: 放在 http { ... } 區塊內。

# 定義快取路徑與參數
fastcgi_cache_path /var/cache/nginx levels=1:2 keys_zone=WORDPRESS:50m inactive=24h max_size=1g;
fastcgi_cache_key "$scheme$request_method$host$request_uri";
fastcgi_cache_use_stale error timeout invalid_header http_500;
fastcgi_ignore_headers Cache-Control Expires Set-Cookie;

參數深度解析:如何根據伺服器調整?

參數 說明 1GB RAM 建議 4GB+ RAM 建議
levels=1:2 目錄層級。防止單一目錄檔案過多導致讀取變慢。 保持預設 保持預設
keys_zone 記憶體中的金鑰區。10MB 可存 8 萬個網址。 10m - 50m 100m+
inactive 閒置清理。多久無人存取就刪除快取檔案。 24h 24h
max_size 硬碟上限。防止快取把硬碟塞爆。 1g 5g+

第二階段:站點邏輯設定 (The Logic)

接著,我們要告訴 Nginx:哪些頁面要快取,哪些(如後台、登入者)絕對不能快取。

修改檔案: /etc/nginx/sites-available/your-site.conf 放置位置: server { ... } 區塊內,必須在 location ~ \.php$ { ... } 之前

# 預設不跳過快取
set $skip_cache 0;

# POST 請求、帶有參數的網址不快取
if ($request_method = POST) { set $skip_cache 1; }
if ($query_string != "") { set $skip_cache 1; }

# 登入者、評論者或剛發布評論的訪客不快取 (避免看到舊內容)
if ($http_cookie ~* "comment_author|wordpress_[a-f0-9]+|wp-postpass|wordpress_no_cache|wordpress_logged_in") {
    set $skip_cache 1;
}

# 特定頁面排除快取 (如 Sitemap)
if ($request_uri ~* "/wp-admin/|/xmlrpc.php|wp-.*.php|/feed/|index.php|sitemap(_index)?.xml") {
    set $skip_cache 1;
}

第三階段:聰明地獲取全站地圖 — Yoast SEO

打好底層後,我們需要一張「自動化地圖」來引導預熱。請讀者先行安裝 WordPress 知名外掛 Yoast SEO

啟用後,它會自動生成 https://yourdomain.com/sitemap_index.xml這是一個關鍵點:Yoast 生成的地圖是「虛擬檔案」,硬碟裡找不到它。這會導致下一個常見的「坑」。

第四階段:避坑指南 — 修復 Sitemap 404 陷阱

很多讀者設定完前兩步後,會發現網站地圖在瀏覽器可以正常打開,但是用命令列打不開,這會造成我們等等要用的腳本無法得到正確的sitemap_index.xml檔案,進而導致快取失敗。

如何檢測?

在命令列輸入:

curl -I https://yourdomain.com/sitemap_index.xml

如果你看到 HTTP/2 404 Not Found,代表 Nginx 誤把這個虛擬地圖當成實體檔案處理了。在這樣的情況下,等等我們自制的爬蟲快取程式會找不到你的sitemap_index.xml檔案而導致快取失敗

解決方案

先找到你的網站設定檔,通常都在 /etc/nginx/sites-available/ 下。在你的靜態資源 location 區塊中,確保清單裡沒有 xml

sudo vi /etc/nginx/sites-available/your.website.conf


location ~* ^.+\.(js|css|jpg|jpeg|gif|png|ico|zip|tgz|gz)$ {

    #js|css|jpg|jpeg|gif|png|ico|zip|tgz|gz 這一串裡不能有xml

    expires 30d;
    access_log off;
    # 找不到這些副檔名的實體檔案時,直接報404錯誤,以免被惡意爬蟲攻擊
    try_files $uri =404;
}

修改後重載 Nginx:sudo nginx -s reload。再次 curl -I 看到 200 OK 才是成功避坑。

如果要再進一步針對sitemap設定,讓nginx知道如何處理它,可以在所有location區塊之前加上下面這些設定,確保針對xml檔案的特殊處理被優先考慮,要把這段放在所有location區塊之前是因為Nginx 會由上而下匹配正則表達式,放在後面就會因為被其他規則蓋過去而失去作用了。

location ~* \.xml$ {
    try_files $uri $uri/ /index.php?$args;
    expires off;
    add_header Cache-Control "no-cache, no-store, must-revalidate, max-age=0";
    # 確保不被 FastCGI 快取住地圖
    fastcgi_cache_bypass 1;
    fastcgi_no_cache 1;
}

這些設定的好處是當google爬蟲來抓取你的文章時,總是能”看到”最新的文章列表

第五階段:實現「首刷即 HIT」— 自動化預熱系統

萬事具備,現在派出「補貨機器人」。這個腳本會模擬真實 Chrome 瀏覽器,發送完整的 GET 請求,確保 Nginx 產生的快取指紋與真人完全一致。

像我這種個人的小網站,我就把這個腳本放在自己的家目錄裡

vi ~/warmup.sh
#!/bin/bash
SITEMAP_INDEX="https://yourdomain.com/sitemap_index.xml"
USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
ACCEPT_ENCODING="gzip, deflate, br"

echo "=== 🚀 正在啟動全站預熱系統 ==="

MAPS=$(curl -s -L -A "$USER_AGENT" "$SITEMAP_INDEX" | grep -oP '(?<=<loc>)[^<]+')

for map in $MAPS; do
    echo "📂 處理子地圖: $map"
    URLS=$(curl -s -L -A "$USER_AGENT" "$map" | grep -oP '(?<=<loc>)[^<]+' | grep -v '\.xml')
    for url in $URLS; do
        echo -n "⚡ 預熱中: $url ... "
        # 模擬 GET 請求以產生完整快取
        STATUS=$(curl -L -s -o /dev/null -D - -A "$USER_AGENT" \
            -H "Accept-Encoding: $ACCEPT_ENCODING" \
            "$url" | grep -i "x-fastcgi-cache" | awk '{print $2}' | tr -d '\r')
        echo "[$STATUS]"
    done
done
echo "=== ✅ 全站預熱完成 ==="

存檔後別忘了加上可執行的權限

chmod +x ~/warmup.sh

如果成功了,會看到類似下面的執行畫面:

第六階段:自動維運 (Crontab)

最後,我們讓它每天定時補貨。建議頻率為 「每天凌晨 3:00」,這能確保每天早晨的第一批讀者都能享受秒開體驗。

輸入 crontab -e 並加入以下排程。

⚠️ 避坑小提醒: crontab 在背景執行時的環境變數非常少,請**務必使用「絕對路徑」**來指定你的 bash 與腳本位置,千萬不要用 ~/,否則排程極有可能會失效!

0 3 * * * /bin/bash /your/path/warmup.sh > /your/path/warmup.log 2>&1

結語

透過這六個階段的配置,你已經在 1GB RAM 的小主機上實現了負載優化。這套「底層配置 + 地圖引導 + 自動預熱」的架構,能讓你的 WordPress 在面對高流量時依然穩定如山。

【Fail2ban 進階實戰】設定 Recidive 累犯監獄,將惡意 IP 永久打入水桶!

發佈日期: 作者:
回覆

如果您已經在伺服器上安裝了 Fail2ban,您可能已經成功擋下了許多 SSH 或網頁的暴力破解攻擊。但您有沒有發現一個問題?

很多聰明的駭客會採用「慢速攻擊」。假設您的 SSH 監獄設定是「錯 5 次鎖 1 小時」,駭客被鎖之後,他會乖乖等 1 小時,解鎖後再來試 5 次。日復一日,無窮無盡。

對於這種死纏爛打的惡意 IP,我們需要祭出 Fail2ban 的終極武器:Recidive(累犯監獄)

這篇文章將教您如何設定一套完美的防禦邏輯:「只要一個月內被 Fail2ban 封鎖超過 3 次,就將該 IP 永久封鎖(All Ports),徹底打入水桶!」

⚠️ 關鍵陷阱:為什麼只改 Fail2ban 設定沒用?

在開始設定 Fail2ban 之前,必須先解決一個 99% 的新手都會踩到的坑:Linux 的日誌輪替機制 (Logrotate)

Recidive 監獄的運作原理,是去翻閱 Fail2ban 自己的日誌 (/var/log/fail2ban.log),看看這個 IP 過去有沒有被封鎖的「前科」。

但是!多數 Linux 系統(如 Ubuntu/Debian)預設每週就會把這個日誌檔切換打包一次。這意味著 Fail2ban 的「記憶力」只有 7 天。如果您直接在 Fail2ban 裡設定「追溯 30 天 (30d)」,實際上根本起不了作用,因為 7 天前的日誌早就被系統收走了。

所以,第一步,我們要先幫 Fail2ban 擴充記憶體。

步驟一:修改 Logrotate 延長日誌壽命

打開 Fail2ban 的日誌輪替設定檔:

sudo nano /etc/logrotate.d/fail2ban

找到裡面的 weekly,將其修改為 monthly。並將 rotate 改為 2(保留兩個月的備份即可,節省硬碟空間)。

修改後的內容應該像這樣:

/var/log/fail2ban.log {
    monthly       # 原本是 weekly,改為每個月切換一次日誌
    rotate 2      # 保留兩個月的備份
    compress
    delaycompress
    missingok
    postrotate
        fail2ban-client flushlogs 1>/dev/null
    endscript
}

儲存並退出 (Ctrl+O -> Enter -> Ctrl+X)。
現在,您的 Fail2ban 擁有了整整一個月的完整記憶,我們的水桶計畫就可以正式啟動了!

🛠 步驟二:設定 Recidive 累犯監獄



接下來,我們要告訴 Fail2ban 如何懲罰這些累犯。

打開 Fail2ban 的本機設定檔:
sudo nano /etc/fail2ban/jail.local



在檔案的下方(可以加在 整個設定檔的最後面),加入以下完整的 [recidive] 設定:
[recidive]
enabled = true

# 監控目標:Fail2ban 自己的日誌檔
logpath = /var/log/fail2ban.log

# 封鎖動作:封鎖所有端口 (All Ports),不只是 SSH
banaction = %(banaction_allports)s

# 追溯期:30 天 (Fail2ban 會往前翻 30 天的帳)
findtime = 30d

# 容忍次數:3 次 (在 30 天內,只要被任何普通監獄封鎖過 3 次就觸發)
maxretry = 3

# 封鎖時間:永久 (-1 代表永久封鎖)
bantime = -1

儲存檔案並退出。

🚀 步驟三:重啟與驗證

設定完成後,重新啟動 Fail2ban 讓新規則生效:

sudo systemctl restart fail2ban

您可以輸入以下指令,查看 Recidive 監獄是否已經順利啟動:

sudo fail2ban-client status recidive

如果您看到狀態顯示為 Status for the jail: recidive,恭喜您,水桶已經準備就緒!

結語 透過結合 Logrotate 的延長記憶與 Recidive 的無情封鎖,您的伺服器現在擁有一套非常聰明的雙層防禦系統。前線給予犯錯的機會,後方則毫不留情地清理慣犯。享受這個清靜的伺服器環境吧!

Fail2ban與Telegram連動

發佈日期: 作者:
回覆

之前我介紹了Fail2ban這個強大的伺服器守門員,它會24 小時盯著監視器(日誌),一旦發現可疑人物(惡意 IP)就立即將其拒之門外。現在讓我們更進一步,讓fail2ban每封鎖一個ip就推播給我們,這樣不但能讓我們隨時知道我們的伺服器正在遭受怎樣的攻擊,也能即時發現被誤鎖的IP。在比較了幾種不同的通知方式(寄email、Line、Telegram)後,我選擇了Telegram,因為透過Telegram,我們不但能隨時收到封鎖/解鎖通知,我們還能透過Telegram下指令控制Fail2ban,在沒有電腦在身邊、或不小心把自己正在用的ip封鎖了的情況下,也能透過Telegram解救自己。本篇文章先介紹簡單的連動,下篇在進階到透過Telegram發指令控制Fail2ban。

第一步:準備 Telegram機器人與 Chat ID

您需要兩樣東西:機器人 Token您的 Chat ID

  1. 取得機器人 Token (API Token)
    • 在 Telegram 搜尋 @BotFather
    • 發送指令 /newbot
    • 依序輸入「機器人顯示名稱」和「機器人帳號 ID (必須以 bot 結尾)」。
    • BotFather 會給您一串紅色文字的 Token (例如:123456789:ABCdefGHIjklMNOpqrst...),請記下來
  2. 取得您的 Chat ID
    • 在 Telegram 搜尋 @userinfobot (這是最快的方法)。
    • 點擊 Start 或發個訊息給它。
    • 它會回覆您的 ID (例如:987654321),請記下來
    • 重要: 記得先去搜尋您剛剛建立的那個機器人,隨便發個「Hello」給它(啟動對話),否則機器人沒權限主動傳訊息給您。

第二步:建立 Fail2ban 的 Telegram 動作檔

我們要告訴 Fail2ban 如何呼叫 Telegram API。

建立設定檔:

sudo nano /etc/fail2ban/action.d/telegram.conf

貼上以下內容:

# Fail2ban configuration file for Telegram
#
[Definition]

# 當封鎖 IP 時發送訊息
actionban = curl -s -X POST "https://api.telegram.org/bot<token>/sendMessage" -d chat_id=<chat_id> -d text="⛔ <b>[Fail2ban]</b> %0A伺服器: <name> %0A剛剛封鎖了 IP: <code><ip></code> %0A(攻擊次數: <failures>)" -d parse_mode="HTML"

# 當解鎖 IP 時發送訊息 (不需要可刪除)
actionunban = curl -s -X POST "https://api.telegram.org/bot<token>/sendMessage" -d chat_id=<chat_id> -d text="✅ <b>[Fail2ban]</b> %0A伺服器: <name> %0A剛剛解鎖了 IP: <code><ip></code>" -d parse_mode="HTML"

[Init]
# 預設為空,由 jail.local 傳入
token =
chat_id =

儲存並退出 (Ctrl+O -> Enter -> Ctrl+X)。

小細節:發送的訊息是HTML格式 ,可以按照自己喜好做修改

第三步:在 jail.local 啟用設定

編輯您的 jail.local

sudo nano /etc/fail2ban/jail.local

[DEFAULT] 區塊中,加入您的 Token 和 ID,並啟用動作:

[DEFAULT]
# --- Telegram 設定 ---
# 請填入第一步取得的真實資料
telegram_token = 123456789:ABCdefGHIjkl...
telegram_chat_id = 987654321

# --- 動作設定 ---
# 定義新的動作別名,方便呼叫
# 這行意思是:呼叫 telegram.conf,並把上面的 token 和 id 傳進去
action_telegram = telegram[token="%(telegram_token)s", chat_id="%(telegram_chat_id)s"]

# 決定要執行的動作
# %(action_)s 是預設的封鎖 (只封鎖不通知)
# %(action_telegram)s 是我們剛剛定義的 Telegram 通知
action = %(action_)s
         %(action_telegram)s

儲存並退出。

第四步:重啟並測試

重啟 Fail2ban

sudo systemctl restart fail2ban

測試發送 (手動封鎖一個假 IP):

sudo fail2ban-client set sshd banip 1.0.0.1

手機響了嗎? 🔔 如果設定正確,您的 Telegram 應該會收到一條訊息:

[Fail2ban] 伺服器: sshd 剛剛封鎖了 IP: 1.0.0.1 (攻擊次數: 1)

測試完畢記得解鎖

sudo fail2ban-client set sshd unbanip 1.0.0.1

Fail2ban 推廣:保護 Linux 伺服器免受暴力破解

發佈日期: 作者:
回覆

如果您的伺服器暴露在網際網路上(特別是開啟了 SSH 端口),您可能每分鐘都在遭受數以百計的「暴力破解」(Brute-force attacks)嘗試。駭客使用自動化腳本嘗試各種密碼組合,試圖闖入您的系統。

Fail2ban 正是為了對付這種情況而生的強大工具。

什麼是 Fail2ban?

Fail2ban 是一個日誌分析工具。它的工作原理非常簡單但有效:

  1. 監控日誌:它會持續掃描伺服器的日誌文件(如 /var/log/auth.log/var/log/secure)。
  2. 偵測攻擊:當它發現特定 IP 在短時間內出現過多「登入失敗」的記錄時。
  3. 執行封鎖:它會自動更新防火牆規則(如 iptables, nftables 或 firewalld),將該惡意 IP 封鎖一段時間。

第一步:安裝 Fail2ban

安裝過程取決於您的 Linux 發行版。

Ubuntu / Debian

sudo apt update
sudo apt install fail2ban -y

安裝完成後,啟動服務並設定開機自啟:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

第二步:設定 Fail2ban(關鍵步驟)

⚠️ 重要觀念: 永遠不要直接編輯 /etc/fail2ban/jail.conf 文件! 因為當軟體更新時,這個文件會被覆蓋。我們應該創建一個副本叫做 jail.local 來進行自定義設定。

1. 建立配置文件

複製默認配置到本地配置文件:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

2. 編輯 jail.local

使用您喜歡的編輯器(如 nano 或 vim)打開或新創文件:

sudo nano /etc/fail2ban/jail.local

3. 設定全局參數 (Default Section)

找到或新增[DEFAULT] 區塊,這裡的設定會應用到所有受監控的服務。以下是幾個最關鍵的參數:

  • ignoreip (白名單)非常重要! 將您自己的 IP 地址加入這裡,以免不小心把自己鎖在門外。
    • 範例: ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 123.45.67.89 (用空格隔開)
  • bantime (封鎖時間): IP 被封鎖的持續時間。可以使用秒數,或 m (分), h (時), d (天)。
    • 建議: bantime = 1h (或者更長,如 1d)
  • findtime (搜尋時間視窗): 在此時間範圍內累積失敗次數。
    • 建議: findtime = 10m
  • maxretry (最大嘗試次數): 在 findtime 期間,允許失敗幾次後就進行封鎖。
    • 建議: maxretry = 5

白話文解釋:

如果設定 findtime = 10mmaxretry = 5,意思就是:「如果在 10分鐘內 登入失敗達到 5次,就啟動封鎖。」

第三步:啟用 SSH 保護 (Jail)

確保 jail.local 裡面有設定如下:

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 3

如果你只設定

[sshd]
enabled = true

其實也可以,因為fail2ban會先去讀取jail.conf 裡面的設定,而這裡通常都已經幫你設定好port、filter等等的資訊了。由於.local檔案內的設定優先權高於.conf。所以如果.local檔案裡有enabled = true的設定,就會覆蓋掉.conf檔案裡 enabled = false的設定。

編輯完成後,儲存並退出 (Ctrl+O, Enter, Ctrl+X)。

最後,重啟 Fail2ban 讓設定生效:

sudo systemctl restart fail2ban

第四步:常用管理指令

學會如何查看狀態和解鎖 IP 是日常運維必備的技能。

1. 查看 Fail2ban 運作狀態

這會列出目前開啟了哪些監控監獄 (Jails):

sudo fail2ban-client status

2. 查看特定服務的詳細資訊

查看 SSH 的封鎖狀況(目前封鎖了多少 IP、具體是哪些 IP):

sudo fail2ban-client status sshd

您會看到類似這樣的輸出:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     205
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 5
   |- Total banned:     12
   `- Banned IP list:   103.xxx.xxx.xxx 185.xxx.xxx.xxx ...

3. 解鎖 (Unban) 一個 IP

如果您或是同事不小心被封鎖了,使用此指令解鎖:

# 語法:fail2ban-client set <監獄名稱> unbanip <IP地址>
sudo fail2ban-client set sshd unbanip 192.168.1.50

進階提示

檢查日誌:如果 Fail2ban 沒有按預期工作,請檢查它的日誌文件:

tail -f /var/log/fail2ban.log

保護其他服務:Fail2ban 不只能保護 SSH,還內建了 Nginx, Apache, WordPress, MySQL 等多種過濾器。只需在 jail.local 中找到(或建立)相應區塊並加上 enabled = true 即可。通常在jail.conf

總結

安裝 Fail2ban 是強化 Linux 伺服器安全最快、最有效的方法之一。它就像一個不知疲倦的保全,24 小時盯著監視器(日誌),一旦發現可疑人物(惡意 IP)就立即將其拒之門外。

Mail Server 征服指南 (二) 第一章:架構規劃與環境準備

發佈日期: 作者:
回覆

在我們登入伺服器輸入任何指令之前,必須先建立一張清晰的「地圖」。

很多初學者在架設 Mail Server 時感到挫折,是因為不知道資料現在流向哪裡:是卡在防火牆?是 DNS 設定錯了?還是資料庫連線失敗?透過理解下面第二點的的三個核心流程,你在除錯時就能精準判斷問題出在哪個環節。

1. 為什麼我們應該選擇 AWS EC2作為初學上手的平台?

雖然你可以在家裡的舊電腦或 Raspberry Pi 上練習,但我強烈建議初學者使用 AWS EC2(或其他雲端 VPS),這能大幅降低「卡關」的機率:

  • 擁有乾淨的網路環境:家用網路通常是浮動 IP,且 ISP 經常封鎖郵件所需的 Port 25,這會讓你一開始就無法收信。EC2 提供了標準的網路環境與公網 IP (Public IP)。
  • 容錯率與「時光機」:這是最重要的理由。在進行危險設定(例如修改資料庫結構或防火牆)之前,我們可以對 EC2 建立「快照 (Snapshot)」。萬一設定檔改壞了、服務起不來了,不需要重灌系統,一鍵就能還原到壞掉前的狀態。這給了我們大膽嘗試的勇氣。

2. 郵件運作的三大流程

我們將採用業界標準的 Postfix + Dovecot + MariaDB (MySQL) 組合。為了方便管理,我們使用「虛擬使用者」架構,將所有帳號、網域儲存在資料庫中,而非 Linux 系統帳號。

流程一:別人寄信給你 (Incoming Mail)

當網路上有人(postmaster@mydomain.com)寄信給你(username@mydomain.net)時,流程如下:

  1. 查詢 MX 記錄:發件方伺服器 (mydomain.com) 向 DNS 查詢目標域名 (mydomain.net) 的 MX 記錄,以確認郵件該發送到哪裡。
  2. 指向伺服器:DNS 解析出目標 Postfix 伺服器的 IP 地址,指引發件方進行連接。
  3. 發送郵件:發件方透過 SMTP 協議,將郵件內容發送給 Postfix 伺服器。
  4. 查詢域名:Postfix 接收到郵件後,暫停處理並向 MySQL 資料庫查詢:該信件的目標域名是否屬於本機需要負責的範圍?
  5. 確認接收:MySQL 確認域名有效且為本地託管,返回確認信息給 Postfix。
  6. 投遞郵件:Postfix 使用 LMTP 協議,將郵件轉交給後端的 Dovecot 服務進行最終投遞。
  7. 保存內容:Dovecot 根據設定(還是要再向MySQL查詢或是根據快取的紀錄決定存檔路徑),將郵件寫入接收者 (username) 在磁碟上對應的郵箱目錄,完成收信。

流程二:你收信看信 (User Retrieval)

當你打開手機或電腦的 郵件客戶端 (Outlook/Thunderbird) 想看信時:

  1. 建立連接:郵件客戶端 (Client) 向伺服器的 Dovecot (IMAP/POP3 服務) 發起連接請求。
  2. 伺服器響應:Dovecot 回應握手信息 (Greeting),確認服務正常並準備進行會話。
  3. 發送帳密:客戶端發送帳號與密碼,請求登入並獲取郵件列表。
  4. 查詢路徑:Dovecot 連接 MySQL 資料庫,查詢該用戶的郵箱存放路徑與存取權限。
  5. 返回資訊:MySQL 確認用戶身分無誤,並回傳對應的磁碟路徑資訊。
  6. 讀取郵件:Dovecot 根據獲取的路徑,前往磁碟存儲 (Storage) 讀取實際的郵件檔案。
  7. 獲取內容:存儲系統將郵件的標頭與內文數據流回傳給 Dovecot。
  8. 傳送數據:Dovecot 將完整的郵件內容傳送給客戶端,用戶即可在軟體介面中閱讀郵件。

流程三:你寄信給別人 (Outgoing Mail)

這是最容易混淆的部分。當你要寄信時,雖然是透過 Postfix 寄出,但驗證工作卻是外包給 Dovecot 的(這稱為 SASL 認證):

  1. 連接伺服器:郵件客戶端 (Client) 向 Postfix 發起 SMTP 連接請求。
  2. 伺服器響應:Postfix 回應握手信息 (Greeting),準備建立會話。
  3. 傳送帳密:客戶端發送經過編碼的帳號與密碼以進行身分驗證。
  4. 請求驗證:Postfix 本身不儲存密碼,將認證請求轉交給後端的 Dovecot (SASL 服務)。
  5. 查詢帳號:Dovecot 連接 MySQL 資料庫,查詢該用戶的帳號是否存在與密碼是否正確。
  6. 返回結果:MySQL 將查詢與比對的結果回傳給 Dovecot。
  7. 認證通過:Dovecot 確認身分無誤後,通知 Postfix 驗證通過。
  8. 認證成功:Postfix 向客戶端回報登入成功 (Authentication successful),允許開始發信。
  9. 發送郵件:客戶端正式上傳編寫好的郵件內容(標頭與內文)。
  10. 轉發郵件:Postfix 接收郵件後,透過 SMTP 協議將其投遞至外部網絡 (Internet) 的對方郵箱伺服器。

小結:軟體職責分工表

看完上面三個流程,你可能會覺得有點眼花撩亂。沒關係,我們只要記住這三個軟體在團隊中的「職位」與「核心任務」即可:

Postfix, Dovecot, 與Mysql的功能

軟體名稱 角色代號 核心職責 詳細工作內容
Postfix 郵差 (MTA) 負責「傳送」與「接收」 它是對外的窗口。負責把信從網路收進來,或是把你的信送到對方的伺服器。它只管「運送」,不管「存儲」。
Dovecot 管家 (MDA) 負責「存庫」、「取信」與「驗身」 它是對內的管家。負責把 Postfix 收到的信寫入硬碟 (LMTP),也負責讓使用者用手機/電腦把信讀出來 (IMAP)。同時,它還負責幫 Postfix 檢查使用者的帳號密碼是否正確 (SASL)。
MySQL 名冊 (DB) 負責「記憶」資料 它是大腦記憶區。系統裡有哪些網域?有哪些使用者?密碼是什麼?別名要轉寄給誰?全部都記在這裡。Postfix 和 Dovecot 做決定前,都要先問過它。

3. 防火牆策略 (Security Group)

理解了上述三個流程後,我們就很清楚為什麼需要開啟以下 Port 了。請登入 AWS Console,在你的 EC2 Security Group 中設定以下「Inbound Rules (入站規則)」:

服務名稱 Port 協定 用途說明 對應流程
SSH 22 TCP 讓我們能遠端登入管理伺服器。 系統管理
SMTP 25 TCP (最重要) 讓網際網路上的其他伺服器能寄信給你。 流程一 (收信)
HTTP 80 TCP 用於申請 Let's Encrypt SSL 憑證驗證。 安全性設定
HTTPS 443 TCP 用於 SSL 憑證驗證。 安全性設定
IMAP 143 TCP 接收郵件標準協定 (無加密或 STARTTLS)。 流程二 (讀信)
IMAPS 993 TCP 接收郵件加密協定 (SSL/TLS)。 流程二 (讀信)
SMTP 587 TCP (Submission) 使用者寄信專用端口,強制加密。 流程三 (寄信)

第一章:架構規劃與環境準備

第二章:基礎建設篇——DNS、SSL 與資料庫

第三章:郵差的武裝——安裝 Postfix 並連接資料庫

第四章:安裝與設定 Dovecot (最後一塊拼圖)。

第五章:驗收時刻——全流程測試

第六章:設定 AWS SES Relay (讓信件使命必達)

Mail Server 征服指南 (三) 第二章:基礎建設篇——DNS、SSL 與資料庫

發佈日期: 作者:
回覆

因為我們在同一台 EC2 上同時運行 Web 與 Mail 服務,這章的重點在於讓兩者和平共處。

1. DNS 設定 (A 與 MX)

請確保您的 DNS 紀錄包含以下兩者,並指向同一個 EC2 IP

類型名稱用途
A@ (mydomain.com)YourIP給網站用 (Web)
AmailYour IP給郵件主機用 (Hostname)
MX@mail.mydomain.com指定郵件由 mail 子網域負責

2. 設定系統 Hostname

我們將系統名稱設為 mail,以利 Postfix 識別。

sudo hostnamectl set-hostname mail.mydomain.com

編輯 /etc/hosts,在 127.0.0.1 localhost 下一行加入:


127.0.0.1 mail.mydomain.com mail

系統的hostname對於Mail server很重要,這會在後面設定Postfix的時候解釋,現在請直接照著設定。這個設定並不會影響任何其他正在運作的服務(如Nginx/Apache、DNS 等等),請安心修改。

3. 透過免費的Let’s Encrypt申請 SSL 憑證 (Webroot 模式)

因為您的 Nginx/Apache 正在佔用 Port 80,我們使用 Webroot 模式。這會請求 Web Server 幫忙驗證,而不需要暫停網站服務。

假設您的 Web Server 根目錄在 /var/www/html (請根據實際情況調整):

# 安裝 certbot
sudo apt update
sudo apt install certbot -y

# 申請憑證 (注意:這裡是申請 mail 子網域的證書)

sudo certbot certonly --webroot -w /var/www/html -d mail.mydomain.com

注意:如果您的網站已經有 SSL 了(例如 www.mydomain.com),這次申請是為了給 Mail Server 用的,所以我們特地申請 mail.mydomain.com。這兩個證書是分開的,互不影響。

如果申請成功,你會看到 Congratulations! 的訊息,並且憑證會存放在:

  • 公鑰 (Certificate): /etc/letsencrypt/live/mail.mydomain.com/fullchain.pem
  • 私鑰 (Private Key): /etc/letsencrypt/live/mail.mydomain.com/privkey.pem

記下這兩個路徑,我們在設定 Postfix 和 Dovecot 時會頻繁用到它們。

4. 安裝與初始化 MariaDB

最後,我們來建立儲存帳號密碼的資料庫。

安裝 MariaDB:

sudo apt install mariadb-server -y
sudo systemctl start mariadb
sudo systemctl enable mariadb

執行安全設定(設定 root 密碼):


sudo mysql_secure_installation

5. 建立郵件資料庫結構

我們不使用 Linux 系統帳號,而是用資料庫來管理「虛擬使用者」。 登入 SQL:

sudo mysql -u root -p

請依序輸入以下 SQL 指令(記得將 password 換成你自訂的強密碼):

-- 1. 建立資料庫
CREATE DATABASE mailserver;

-- 2. 建立郵件系統專用使用者 (mailuser)
CREATE USER 'mailserver'@'127.0.0.1' IDENTIFIED BY 'passwordyouchoose';

-- 3. 賦予查詢權限 (只給 SELECT,安全性更高)
GRANT SELECT ON mailserver.* TO 'mailserver'@'localhost';
FLUSH PRIVILEGES;

-- 4. 進入資料庫
USE servermail;

-- 5. 建立網域表 (Virtual Domains)
CREATE TABLE `virtual_domains` (
  `id` int(11) NOT NULL auto_increment,
  `name` varchar(50) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- 6. 建立使用者表 (Virtual Users)
CREATE TABLE `virtual_users` (
  `id` int(11) NOT NULL auto_increment,
  `domain_id` int(11) NOT NULL,
  `password` varchar(150) NOT NULL,
  `email` varchar(100) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `email` (`email`),
  FOREIGN KEY (domain_id) REFERENCES virtual_domains(id) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- 7. 建立別名表 (Virtual Aliases)
CREATE TABLE `virtual_aliases` (
  `id` int(11) NOT NULL auto_increment,
  `domain_id` int(11) NOT NULL,
  `source` varchar(100) NOT NULL,
  `destination` varchar(100) NOT NULL,
  PRIMARY KEY (`id`),
  FOREIGN KEY (domain_id) REFERENCES virtual_domains(id) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

為了方便之後測試,我們先寫入一筆假資料(請換成你的網域):

-- 假設你的網域是 mydomain.com,密碼暫時用明碼 '123456'
INSERT INTO virtual_domains (id, name) VALUES (1, 'mydomain.com');
INSERT INTO virtual_users (id, domain_id, password, email) VALUES (1, 1,'123456','user@example.com');

輸入 exit 離開。

這樣一來,我們的基礎建設 (Infrastructure) 就全部完成了! 我們現在有了:

  • 正確的地址 (DNS & Hostname)
  • 安全的加密憑證 (SSL)
  • 儲存使用者的倉庫 (MariaDB)

第一章:架構規劃與環境準備

第二章:基礎建設篇——DNS、SSL 與資料庫

第三章:郵差的武裝——安裝 Postfix 並連接資料庫

第四章:安裝與設定 Dovecot (最後一塊拼圖)。

第五章:驗收時刻——全流程測試

第六章:設定 AWS SES Relay (讓信件使命必達)

Mail Server 征服指南 (四) 第三章:郵差的武裝——安裝 Postfix 並連接資料庫

發佈日期: 作者:
回覆

我們已經準備好了身分證 (DNS/Hostname)、通行證 (SSL) 和大腦 (MariaDB)。現在,我們要請出負責收發信件的郵差——Postfix,並給它三張「藏寶圖」,讓它知道去資料庫的哪裡找人。

1. 安裝 Postfix 與 MySQL 驅動

首先,安裝 Postfix 主程式以及讓它能跟資料庫溝通的套件。

sudo apt update
sudo apt install postfix postfix-mysql -y

在安裝過程中,您會看到一個藍底灰字的設定畫面,請依序輸入:

  1. General type of mail configuration: 選擇 Internet Site
  2. System mail name: 輸入您的主網域 mydomain.com (注意:這裡填您信箱 @ 後面的名字,不要填 mail.mydomain.com)。

2. 製作三張「藏寶圖」 (SQL 連接設定)

Postfix 本身看不懂資料庫(SQL)結構,我們需要建立三個設定檔,告訴它 SQL 語句該怎麼寫。

先建立一個專用資料夾來存放這些機密檔案:

sudo mkdir -p /etc/postfix/mysql

接下來建立三個檔案(請記得將下方的 password 換成您在第二章設定的 mailserver 資料庫密碼):

地圖 A:查詢「我們負責哪些網域?」

sudo nano /etc/postfix/mysql/mysql-virtual-mailbox-domains.cf

貼上內容:

user = mailserver
password = password
hosts = 127.0.0.1
dbname = mailserver
query = SELECT 1 FROM virtual_domains WHERE name='%s'

地圖 B:查詢「這個使用者存在嗎?」

sudo nano /etc/postfix/mysql/mysql-virtual-mailbox-maps.cf

貼上內容:

user = mailserver
password = password
hosts = 127.0.0.1
dbname = mailserver
query = SELECT 1 FROM virtual_users WHERE email='%s'

地圖 C:查詢「這封信要轉寄嗎?」

sudo nano /etc/postfix/mysql/mysql-virtual-alias-maps.cf

貼上內容:

user = mailuser
password = password
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

3. 保護檔案並測試連接 (關鍵步驟!)

因為檔案裡有密碼,我們必須鎖定權限。

sudo chmod 640 /etc/postfix/mysql/*
sudo chgrp postfix /etc/postfix/mysql/*

立即測試! 不要等到全部設完才測。我們用 postmap 指令測試 Postfix 能不能連上資料庫(假設您在第二章有寫入 example.com 的測試資料):

# 在這請用你剛剛在第二章測試資料庫時設定的網域和使用者
# 測試網域,example.com 
# (應回傳 1,如果什麼都沒回傳就是在資料庫沒查到example.com這筆資料,下面同理)
sudo postmap -q example.com mysql:/etc/postfix/mysql/mysql-virtual-mailbox-domains.cf

# 測試使用者 (應回傳 1)
sudo postmap -q user@example.com mysql:/etc/postfix/mysql/mysql-virtual-mailbox-maps.cf

如果這裡報錯(例如 Login failed),則是在連線到資料庫時出錯了,請回頭檢查在第二步中創建的 .cf檔案裡的帳號密碼是否正確。

4. 編輯主設定檔 main.cf

請跟著我一步步修改。為了避免混亂,我會將設定檔拆解成幾個模組來解釋。

備份舊設定:

sudo cp /etc/postfix/main.cf /etc/postfix/main.cf.bak

請打開設定檔:

sudo nano /etc/postfix/main.cf

這個檔案裡應該已經有一些預設內容。建議您註解掉(在前面加 #)或是直接刪除舊的內容,然後依照下面的區塊,將設定一塊一塊貼上或修改。

A. 身分識別 (Identity) —— 最容易錯的地方

# ==============================
# Postfix Main Configuration
# ==============================

# --- A. Identity (身分識別:郵差 vs. 收件人) ---

# 1. [郵差的名牌]:這台伺服器自己的名字
# 當它跟別的伺服器打招呼時,會說:「你好,我是郵差,我的名字是 mail.mydomain.com」
myhostname = mail.mydomain.com

# 2. [寄件來源]:從這台機器發出的信,信封上要蓋什麼章?
# 例如:系統排程通知信,會顯示來自 root@mydomain.com 
# (看起來像公司發的),而不是 root@mail...
myorigin = mydomain.com

# 3. 哪些信是「寄給郵差自己」的?(本機帳號的系統信件,如cron排程執行結果等等)
# 這是最關鍵的設定!
# 我們只留 localhost 與 mail.mydomain.com ($myhostname),
# 讓 Postfix 知道其他的都要去查 MySQL。
# 千萬「不能」把 mydomain.com 寫在這裡!
# 因為客戶的信 (user@mydomain.com) 不該留在郵差口袋,而是要放入「客戶信箱 (MySQL)」(下面的 Virtual 設定)。
mydestination = $myhostname, localhost.mydomain.com, localhost

!!教學的第二章中Hostname 設定正確的重要性

如果把 Mail Server 比喻成一位「國際外交官」,那 Hostname 就是他的「護照名字」

為什麼它這麼重要?主要有以下三個致命原因:

1. 為了不被當成騙子 (HELO/EHLO 與 rDNS 檢查)

這是最直接影響「信寄不寄得出去」的原因。

當您的伺服器 (Postfix) 連線到對方的伺服器 (例如 Gmail) 時,第一句話會進行自我介紹:

Postfix: “HELO/EHLO,我是 mail.mydomain.com

這時候,Gmail 不會輕易相信你,它會做一個 「雙重查核 (FCrDNS)」

  1. 查 IP:Gmail 會去查這個連線 IP 的 Reverse DNS (PTR 紀錄),看看這個 IP 註冊的名字是不是真的叫 mail.mydomain.com。(自家的網路要設定反查要找ISP 幫你設定,但是ISP通常不會幫你弄,所以這時AWS的優勢又體現出來了,你可以請AWS幫你設定IP反查)
  2. 比對:如果你的 Hostname 設成 localhost 或是 ubuntu-server,但 PTR 紀錄卻是 mail.mydomain.com
    • 結果:名字對不上!Gmail 會判定你在說謊(可能是殭屍電腦),直接拒收或丟垃圾桶。

結論: Hostname 必須跟你在 DNS (PTR) 上登記的名字一模一樣,才能取信於人。

2. 為了避免「精神分裂」 (Loop Prevention)

Postfix 需要清楚區分 「我」「我的客戶」

  • Hostname (我):例如 mail.mydomain.com。這是伺服器本身的名字(第二章設定的hostname以及/etc/hosts這個檔案),用來收系統通知(如 root@mail…)。
  • Virtual Domain (客戶):例如 mydomain.com。這是我們要服務的郵件網域。

如果 Hostname 設錯(設成跟網域一樣 mydestination = mydomain.com): 當有人寄信給 user@mydomain.com 時,Postfix 會看著自己的 Hostname 說:「咦?這不是寄給我自己的嗎?」 於是它不去查 MySQL(客戶名單),而是去查 Linux 本機帳號 (/etc/passwd)。 結果當然查不到 user 這個帳號,最後導致 “User unknown in local recipient table” 的錯誤。

結論: Hostname 必須是 Sub-domain (子網域),絕對不能跟 Email 主網域重疊,以確保路由邏輯清晰。

3. 為了產生合法的 Message-ID

每一封寄出去的信,都會有一個全球獨一無二的身分證號碼,叫做 Message-ID。這個號碼通常長這樣: 20251020.A1B2C3D4@mail.mydomain.com

注意到了嗎? @ 後面的部分就是由 Hostname 產生的。

  • 如果你 Hostname 沒設好(例如叫 localhost.localdomain),Message-ID 就會變成 @localhost
  • 這在嚴格的垃圾郵件過濾器(如 SpamAssassin)眼中,是一個非常大的扣分項目(Malformated Message-ID)。

總結

Hostname 對於 Mail Server 來說,不僅僅是一個代號,它是:

  1. 對外的誠信憑證(跟 IP 反解必須一致)。
  2. 對內的導航座標(區分本機與虛擬網域)。
  3. 信件的合格標章(產生正確的 Message-ID)。

所以,永遠記得把主機名稱設為 FQDN (完整網域名稱,如 mail.example.com),而不要只用 mailserver1 這種簡稱。Hostname的重要性介紹到這,接下來我們繼續postfix的設定教學。

B. 網路與連線 (Network)

這裡設定誰可以連線,以及我們監聽的介面。

# --- Network Settings ---
# 監聽所有介面 (包含外部連線)
inet_interfaces = all
# 只使用 IPv4 (為了避免 IPv6 設定不全導致的怪問題,建議新手先鎖定 IPv4)
inet_protocols = ipv4
# 信任的網路 (通常維持預設,只允許本機)
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

C. 虛擬使用者設定 (Virtual Settings) —— 連接 MySQL

這是讓 Postfix 去讀取我們上一節建立的那三個檔案。

# --- Virtual User Settings (MySQL) ---
# 1. 告訴 Postfix,這些網域是歸我們管的 (查 virtual_domains 表)
virtual_mailbox_domains = mysql:/etc/postfix/mysql/mysql-virtual-mailbox-domains.cf

# 2. 告訴 Postfix,這些使用者是存在的 (查 virtual_users 表)
virtual_mailbox_maps = mysql:/etc/postfix/mysql/mysql-virtual-mailbox-maps.cf

# 3. 告訴 Postfix,這些別名要轉寄 (查 virtual_aliases 表)
virtual_alias_maps = mysql:/etc/postfix/mysql/mysql-virtual-alias-maps.cf

# 4. 告訴 Postfix,信件收下來後,透過 LMTP 協定丟給 Dovecot 處理
# (注意:這一步需要等下一章安裝 Dovecot 後才會真正通,現在先設好)
virtual_transport = lmtp:unix:private/dovecot-lmtp

D. 安全性與加密 (TLS/SSL) —— 使用 Let’s Encrypt

請將路徑換成您在第二章申請到的實際路徑。

# --- TLS/SSL Settings ---
# 啟用 TLS
smtpd_tls_security_level = may
smtp_tls_security_level = may

# 指定憑證路徑 (請將 mail.mydomain.com 換成您的真實路徑)
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.com/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# 強化安全性 (禁止匿名加密協定)
smtpd_tls_auth_only = yes

E. SASL 認證 (整合 Dovecot) —— 寄信驗證

這就是你收信/看信流程圖中,Postfix 轉身問 Dovecot「密碼對不對」的設定。

# --- SASL Authentication (Dovecot) ---
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

F. 基礎防護規則 (Restrictions) —— 第一層擋信

這裡設定誰可以透過我們寄信,以及我們要擋掉誰。

# --- Restrictions ---
smtpd_recipient_restrictions =
    permit_mynetworks,           # 允許本機 (127.0.0.1)
    permit_sasl_authenticated,   # 允許通過密碼驗證的使用者 (你)
    reject_unauth_destination    # 拒絕未經授權的轉寄 (防止變成 Open Relay)

存檔離開

5. 編輯 master.cf 開啟 Submission Port (587)

預設 Postfix 只開 Port 25。但現代的 Email Client (Outlook, iPhone Mail) 寄信時,標準是走 Port 587 (Submission)。我們需要把它打開。

sudo nano /etc/postfix/master

找到開頭是 submission 的那幾行(通常是被註解掉的),將前面的 # 拿掉,改成如下(注意縮排):

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject

(重點是開啟它,並強制 TLS 加密與 SASL 認證)

存檔離開。

6. 檢查與重啟

在重啟之前,我們先檢查設定檔語法有沒有寫錯:

sudo postfix check

如果不回傳任何訊息,代表語法正確。

接著重啟 Postfix 讓設定生效:

sudo systemctl restart postfix

4. 驗證成果:我們現在完成了什麼?

現在,您的 Postfix 已經具備了以下能力:

  1. 知道自己是誰 (mail.mydomain.com)。
  2. 知道要去哪裡查資料 (連接 MySQL)。
  3. 打開了收發信的大門 (Port 25 和 587)。

但是!現在還不能寄信,也不能收信。 為什麼?

  • 因為 Dovecot 還沒裝!
  • Postfix 設定檔裡的 private/auth (驗證密碼) 和 private/dovecot-lmtp (存信) 都是要連線給 Dovecot 的。現在這兩條線是斷的。

查看 Log 確認: 如果您現在去查看 Log:

Bash

tail -f /var/log/mail.log

您可能會看到類似 warning: connect to private/dovecot-lmtp: No such file or directory 的警告,這是完全正常的,因為我們還沒安裝 Dovecot。

這就是第三章的內容。我們已經把「郵差 (Postfix)」武裝好了,但他現在還缺一個「管家 (Dovecot)」來幫他管倉庫和查戶口。

第一章:架構規劃與環境準備

第二章:基礎建設篇——DNS、SSL 與資料庫

第三章:郵差的武裝——安裝 Postfix 並連接資料庫

第四章:安裝與設定 Dovecot (最後一塊拼圖)。

第五章:驗收時刻——全流程測試

第六章:設定 AWS SES Relay (讓信件使命必達)

Mail Server 征服指南 (五) 第四章:安裝與設定 Dovecot (最後一塊拼圖)。

發佈日期: 作者:
回覆

這就是我們的最後一塊拼圖:Dovecot

如果說 Postfix 是在大門口負責收發信件的「郵差」,那 Dovecot 就是在屋內負責管理的「全能管家」。它有兩個核心任務:

  1. 驗收與倉儲 (LMTP/Mail Location):把郵差收進來的信,依照收件人分門別類,整齊地存進硬碟的資料夾裡。
  2. 身分驗證與取信 (Auth/IMAP):幫郵差查驗寄信人的密碼 (SASL),並讓主人(你)能透過手機或電腦把信取出來看。

讓我們開始安裝並設定這位管家吧!

1. 建立系統專用帳號 (vmail)

在安裝軟體前,我們需要先解決一個 Linux 的權限問題。 雖然我們的使用者是「虛擬」的(在資料庫裡),但信件最終還是要存成硬碟上的「檔案」。Linux 的檔案系統需要有一個真實的擁有者來管理這些檔案。

我們建立一個名為 vmail 的系統帳號,專門用來持有所有人的信件檔案:

# 建立群組 vmail (GID 5000)
sudo groupadd -g 5000 vmail

# 建立使用者 vmail (UID 5000),並指定它的家目錄在 /var/mail/vmail
sudo useradd -g vmail -u 5000 vmail -d /var/mail/vmail -m

2. 安裝 Dovecot 套件

我們需要安裝核心服務、IMAP 服務、LMTP 服務(接收 Postfix 轉交的信),以及 MySQL 驅動。

sudo apt update
sudo apt install dovecot-core dovecot-imapd dovecot-lmtpd dovecot-mysql -y

3. 設定資料庫連線 (dovecot-sql.conf.ext)

這一步是讓 Dovecot 能夠讀取我們在第二章建立的資料庫。

備份並建立設定檔:

sudo cp /etc/dovecot/dovecot-sql.conf.ext /etc/dovecot/dovecot-sql.conf.ext.bak
sudo nano /etc/dovecot/dovecot-sql.conf.ext

請清空內容,貼上以下設定(請記得修改 password):

driver = mysql
connect = host=127.0.0.1 dbname=mailserver user=mailserver password=password

# [密碼加密方式]
# 目前我們先用 PLAIN (明碼) 方便測試。
# 未來若要加密,這裡改成 SHA512-CRYPT (那資料庫裡的密碼也要換成加密字串)
default_pass_scheme = PLAIN

# [驗證查詢]:Dovecot 用這行來檢查帳號密碼是否正確
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

# [使用者查詢]:驗證通過後,Dovecot 用這行知道信箱檔案要放在哪裡
# 這裡我們回傳了固定的 uid/gid (5000),以及動態的路徑 (domain/user)
user_query = SELECT 5000 as uid, 5000 as gid, 'maildir:/var/mail/vmail/%d/%n' as mail FROM virtual_users WHERE email='%u';

注意%d 代表網域 (mydomain.com),%n 代表使用者名稱 (user)。所以信件會存在 /var/mail/vmail/mydomain.com/user/ 裡面,結構非常清晰。

修改權限(保護密碼):

sudo chgrp dovecot /etc/dovecot/dovecot-sql.conf.ext
sudo chmod 640 /etc/dovecot/dovecot-sql.conf.ext

4. 設定 Dovecot 核心模組

Dovecot 的設定檔分散在 /etc/dovecot/conf.d/ 裡。我們需要修改其中的四個檔案。

A. 修改 10-auth.conf (啟用 SQL 認證)

sudo nano /etc/dovecot/conf.d/10-auth.conf
  • 找到 disable_plaintext_auth,確認它是 no (或是註解掉),因為我們之後會強制用 SSL,所以這裡設 no 沒關係,方便除錯。
  • 找到 auth_mechanisms,修改為:auth_mechanisms = plain login
  • 註解掉 (加上 #):!include auth-system.conf.ext (我們不用 Linux 系統帳號)
  • 取消註解 (拿掉 #):!include auth-sql.conf.ext (我們要用 SQL)

B. 修改 10-mail.conf (設定信箱位置)

sudo nano /etc/dovecot/conf.d/10-mail.conf
  • 找到 mail_location,修改為:
mail_location = maildir:/var/mail/vmail/%d/%n
  • 找到 mail_uidmail_gid,修改為我們剛建的 vmail 帳號 ID:
mail_uid = 5000 mail_gid = 5000

C. 修改 10-master.conf (打開與 Postfix 的溝通大門) 這是最重要的一步!

這裡定義了 Postfix 第三章設定檔裡寫的 private/authprivate/dovecot-lmtp 是什麼。

sudo nano /etc/dovecot/conf.d/10-master.conf

請找到 service lmtpservice auth 區塊,修改成下面這樣(小心大括號的位置):

# 1. 讓 Postfix 把信塞進來的接口 (LMTP)
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}

# 2. 讓 Postfix 來問密碼的接口 (Auth)
service auth {
  # 給 Postfix 用的 (SMTP Auth)
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  
  # 給 Dovecot 自己用的
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }
  user = dovecot
}

D. 修改 10-ssl.conf (掛載 Let’s Encrypt)

sudo nano /etc/dovecot/conf.d/10-ssl.conf
  • 找到 ssl,確認是 yesrequired
  • 修改憑證路徑(換成你的真實路徑):
ssl_cert = </etc/letsencrypt/live/mail.mydomain.com/fullchain.pem 
ssl_key = </etc/letsencrypt/live/mail.mydomain.com/privkey.pem

5. 權限修正與啟動

我們需要告訴 Dovecot 它的 SQL 設定檔在哪裡(因為我們剛剛是在 conf.d/10-auth.conf 裡 include 了 auth-sql.conf.ext,我們要去編輯那個檔案指向我們的 dovecot-sql.conf.ext)。

更簡單的做法,直接編輯 /etc/dovecot/conf.d/auth-sql.conf.ext

sudo nano /etc/dovecot/conf.d/auth-sql.conf.ext

確保內容如下:

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

最後,重啟 Dovecot 並檢查狀態:

sudo systemctl restart dovecot
sudo systemctl status dovecot

如果看到綠色的 active (running),恭喜你!所有安裝步驟已全部完成!

最後我們將要進入驗收環節!

第一章:架構規劃與環境準備

第二章:基礎建設篇——DNS、SSL 與資料庫

第三章:郵差的武裝——安裝 Postfix 並連接資料庫

第四章:安裝與設定 Dovecot (最後一塊拼圖)。

第五章:驗收時刻——全流程測試

第六章:設定 AWS SES Relay (讓信件使命必達)