Fail2Ban hat ausgedient

von Khark am 16. August 2007 um 16:17 Uhr

Fail2Ban hat bei mir jetzt ausgedient. Ich setze es nicht mehr ein.
Mittlerweile haben 3/4 aller Hosts die meinen SSH-Dienst penetrieren kein Problem mehr mit den Sperrungen der IP-Adresse.
Sie scheinen die Timeouts einfach zu ignorieren und stumpf weiterzusenden.

Ein Tool ist mir auch aufgefallen, welches sich zu merken scheint, wann die Pakete abgewiesen werden und dann ~10min wartet bevor wieder an exakt der gleichen Stelle fortgesetzt wird.
Könnte man ja eigentlich noch verbessern indem man die Zeit variabel durchtestet und versucht die Sperrdauer (bantime-Parameter) herauszufinden :P

Also setze ich dann doch bald auf nur Key-Authentication.

9 Antworten zu “Fail2Ban hat ausgedient”

  1. chris sagt:

    Die Public Key Authentication behebt aber das Problem nicht. Die Logfiles schwillen trotz Public Key Authentication an. Daher finde ich persönlich Fail2Ban als Mittel, um mir die Logfiles sauber zu halten recht angenehm. Gut.. jetzt könnte man mit dem Argument von wegen “weniger Code im System minimiert.. blah blah” kommen. ;)

  2. dead_orc sagt:

    Das größte Problem ist mMn, dass man mit fail2ban einfach Leute aussperren kann. logger mit den richtigen Parametern aufrufen und fertig. Ganz egal ob man root oder admin oder wheeler oder sonstwas ist. Außerdem ist der Nutzen halt irgendwie minimal – mit nem ordentlich geconften sshd kommt ein Angreifer höchstwahrscheinlich eh nicht rein, und nur um Logfilegrößen zu reduzieren lohnt es sich IMO nicht. Es ist vielleicht für nen Abmahnwahn praktisch, wenn man den ISPs von Angreifern sofort ne Mail schicken will…

  3. Khark sagt:

    Naja, ich benutze nicht meinen Nick als Loginnamen und haben nur diesen einem Account den Zugriff via SSH erlaubt.
    Das Passwort ist zu komplex und Root-Logins verboten.

    Der SSH-Dienst ist also von daher sicher.
    Aber fail2ban war bisher eben trotzdem recht nett..

  4. pfleidi sagt:

    Den SSHD einfach auf einen anderen Port legen und das Problem ist gegessen. Ich hatte nach der Aenderung des Ports keine Angriffe mehr. In der ~/.ssh/config einfach den Server und den neuen Port eintragen und dann flutscht der Login genauso wie sonst.
    Ausserdem ist Login per Keyfile mit Passphrase und Key-Agent eh viel toller :)

  5. Sven sagt:

    Ich überlege, ob ich auch fail2ban einsetzen werde (mein IMAP-Server wird penetriert), sehe allerdings nicht dein Problem ein: Warum entfernst du den Ban nach einem Timeout wieder? Ich stelle mir das ja so vor: Etwa 40 fehlgeschlagene Logins abwarten (denn so viel macht kein Mensch kurz hintereinander, und sonst hat er halt Pech), und dann einen Ban — ohne zeitlichem Limit. Vielleicht kann man den Ban nach einer Woche wieder entfernen — aber dem Bruteforcer ist dann garantiert die Lust vergangen.

    Viele Grüße,

    Sven

  6. Khark sagt:

    Naja, klar kann man es so machen wie du es beschreibst.
    Aber letzten Endes geht es doch immer nur darum auszutesten ab wieviel fehlerhaften Logins in x Zeiteinheiten man gesperrt wird.

    Und genau da setzen doch mittlerweile die Tools an, da sie dies austesten.

    Zudem kommt bei fail2ban und anderen Log-Analysieren noch eine weitere Problematik namens “Remote Log Injection” hinzu.
    Lies dir mal folgenden Artikel durch: http://www.ossec.net/en/attacking-loganalysis.html

    Glaub mir, der einzige Weg zu mehr Sicherheit führt über weniger Software. (Ja auch weniger Security-Software.)

  7. BubbleBobble sagt:

    Hi,

    ich habe seit ein paar Wochen ähnliche Probleme mit fail2ban. logwatch listet mir fleißig einen Berg von Bans auf (teilweise bis zu 800 an einem tag). Ich vermute eher, daß da mittlerweile Botnetze verwendet werden. ICh bekomme meistens von nur einzelne Einträge pro IP, danach kommt sofort eine andere.
    D.h. der Betreiber merkt schnell, daß die Adresse “verbaucht” ist oder er läßt eine große Zahl von Hosts mit unterschiedlichen Passwörtern auf den Server los.
    Ich werde wohl gezwungen sein, den Port verlegen oder port-knocking einführen zu müssen, damit da endlich schluß ist. =)

  8. PeeCee sagt:

    Ich verwende Fail2Ban nicht nur für die SSH-Bruteforcer… dafür wäre es fast wertlos. Ich blocke damit auch Email-Spammer, dämliche Script-Kiddie-Attacken auf meinen Webserver und noch einiges mehr.

  9. blocklist sagt:

    Damit die Provider über die infizierten PC’s/Server informiert werden, kann man über mein Projekt http://www.blocklist.de/de/ automatisch Abuse-Reports erstellen lassen und hat dazu auch noch Statistiken und weitere Optionen.