mount / -o remount,rw
cd /opt/kerio/winroute/sslcert/builtin/
rm DST_Root_CA_X3.crt
vi isrgrootx1.crt
Что бы предварительно защитить сервер от подбороов паролей и сканированиия по ящикам делаем:
apt install fail2ban/etc/fail2ban/jail.conf[kerio]
enabled = true
port = 25,465,587,110,995,143,993,4040,80,443
logpath = /store/logs/security.log
bantime = 14400
findtime = 1200
maxretry = 5
не забудьте проверить путь до лога /store/logs/security.log
сверху в конфиге в переменной ignoreip = 127.0.0.1/8 дописываем через запятую все сети и\или адреса для исключения.
туда же надо добавить адрес забикс-сервера (любого вашего мониторинга), т.к. он быстро залочится.
/etc/fail2ban/filter.d/kerio.conf должен выглядеть вот так:# Fail2ban filter for kerio
[Definition]
failregex = SMTP Spam attack detected from <HOST>,
IP address <HOST> found in DNS blacklist
Relay attempt from IP address <HOST>
Attempt to deliver to unknown recipient .*,.*, IP address <HOST>
Invalid password for user .* Attempt from IP address <HOST>
User .* doesn’t exist. Attempt from IP address <HOST>
Failed POP3 login from <HOST>, user .*
Failed IMAP login from <HOST>, user .*
Failed SMTP login from <HOST>
SMTP: User .* doesn’t exist. Attempt from IP address <HOST>
ignoreregex =
[Init]
datepattern = ^\[%%d/%%b/%%Y %%H:%%M:%%S\]
service fail2ban restartв реальном времени можно смотреть как работает бан
tail -f /var/log/fail2ban.log