Kommentare zu: Fail2Ban hat ausgedient

Von: blocklist

blocklist — Thu, 30 Sep 2010 17:24:41 +0000

Damit die Provider über die infizierten PC’s/Server informiert werden, kann man über mein Projekt http://www.blocklist.de/de/ automatisch Abuse-Reports erstellen lassen und hat dazu auch noch Statistiken und weitere Optionen.

Von: PeeCee

PeeCee — Mon, 12 Jan 2009 10:05:32 +0000

Ich verwende Fail2Ban nicht nur für die SSH-Bruteforcer… dafür wäre es fast wertlos. Ich blocke damit auch Email-Spammer, dämliche Script-Kiddie-Attacken auf meinen Webserver und noch einiges mehr.

Von: BubbleBobble

BubbleBobble — Fri, 26 Sep 2008 21:16:25 +0000

Hi,

ich habe seit ein paar Wochen ähnliche Probleme mit fail2ban. logwatch listet mir fleißig einen Berg von Bans auf (teilweise bis zu 800 an einem tag). Ich vermute eher, daß da mittlerweile Botnetze verwendet werden. ICh bekomme meistens von nur einzelne Einträge pro IP, danach kommt sofort eine andere.
D.h. der Betreiber merkt schnell, daß die Adresse “verbaucht” ist oder er läßt eine große Zahl von Hosts mit unterschiedlichen Passwörtern auf den Server los.
Ich werde wohl gezwungen sein, den Port verlegen oder port-knocking einführen zu müssen, damit da endlich schluß ist. =)

Von: Khark

Khark — Tue, 06 May 2008 21:07:43 +0000

Naja, klar kann man es so machen wie du es beschreibst.
Aber letzten Endes geht es doch immer nur darum auszutesten ab wieviel fehlerhaften Logins in x Zeiteinheiten man gesperrt wird.

Und genau da setzen doch mittlerweile die Tools an, da sie dies austesten.

Zudem kommt bei fail2ban und anderen Log-Analysieren noch eine weitere Problematik namens “Remote Log Injection” hinzu.
Lies dir mal folgenden Artikel durch: http://www.ossec.net/en/attacking-loganalysis.html

Glaub mir, der einzige Weg zu mehr Sicherheit führt über weniger Software. (Ja auch weniger Security-Software.)

Von: Sven

Sven — Mon, 05 May 2008 10:07:46 +0000

Ich überlege, ob ich auch fail2ban einsetzen werde (mein IMAP-Server wird penetriert), sehe allerdings nicht dein Problem ein: Warum entfernst du den Ban nach einem Timeout wieder? Ich stelle mir das ja so vor: Etwa 40 fehlgeschlagene Logins abwarten (denn so viel macht kein Mensch kurz hintereinander, und sonst hat er halt Pech), und dann einen Ban — ohne zeitlichem Limit. Vielleicht kann man den Ban nach einer Woche wieder entfernen — aber dem Bruteforcer ist dann garantiert die Lust vergangen.

Viele Grüße,

Sven

Von: pfleidi

pfleidi — Fri, 17 Aug 2007 13:41:22 +0000

Den SSHD einfach auf einen anderen Port legen und das Problem ist gegessen. Ich hatte nach der Aenderung des Ports keine Angriffe mehr. In der ~/.ssh/config einfach den Server und den neuen Port eintragen und dann flutscht der Login genauso wie sonst.
Ausserdem ist Login per Keyfile mit Passphrase und Key-Agent eh viel toller :)

Von: Khark

Khark — Thu, 16 Aug 2007 19:26:59 +0000

Naja, ich benutze nicht meinen Nick als Loginnamen und haben nur diesen einem Account den Zugriff via SSH erlaubt.
Das Passwort ist zu komplex und Root-Logins verboten.

Der SSH-Dienst ist also von daher sicher.
Aber fail2ban war bisher eben trotzdem recht nett..

Von: dead_orc

dead_orc — Thu, 16 Aug 2007 19:22:53 +0000

Das größte Problem ist mMn, dass man mit fail2ban einfach Leute aussperren kann. logger mit den richtigen Parametern aufrufen und fertig. Ganz egal ob man root oder admin oder wheeler oder sonstwas ist. Außerdem ist der Nutzen halt irgendwie minimal – mit nem ordentlich geconften sshd kommt ein Angreifer höchstwahrscheinlich eh nicht rein, und nur um Logfilegrößen zu reduzieren lohnt es sich IMO nicht. Es ist vielleicht für nen Abmahnwahn praktisch, wenn man den ISPs von Angreifern sofort ne Mail schicken will…

Von: chris

chris — Thu, 16 Aug 2007 15:57:17 +0000

Die Public Key Authentication behebt aber das Problem nicht. Die Logfiles schwillen trotz Public Key Authentication an. Daher finde ich persönlich Fail2Ban als Mittel, um mir die Logfiles sauber zu halten recht angenehm. Gut.. jetzt könnte man mit dem Argument von wegen “weniger Code im System minimiert.. blah blah” kommen. ;)