Kommentare zu: Fail2Ban hat ausgedient /blog/fail2ban-hat-ausgedient/ Hier steht mal irgendwann ein toller Titel. Fri, 13 Apr 2012 12:58:14 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Von: blocklist /blog/fail2ban-hat-ausgedient/#comment-118772 blocklist Thu, 30 Sep 2010 17:24:41 +0000 /blog/fail2ban-hat-ausgedient/#comment-118772 Damit die Provider über die infizierten PC's/Server informiert werden, kann man über mein Projekt http://www.blocklist.de/de/ automatisch Abuse-Reports erstellen lassen und hat dazu auch noch Statistiken und weitere Optionen. Damit die Provider über die infizierten PC’s/Server informiert werden, kann man über mein Projekt http://www.blocklist.de/de/ automatisch Abuse-Reports erstellen lassen und hat dazu auch noch Statistiken und weitere Optionen.

]]>
Von: PeeCee /blog/fail2ban-hat-ausgedient/#comment-93507 PeeCee Mon, 12 Jan 2009 10:05:32 +0000 /blog/fail2ban-hat-ausgedient/#comment-93507 Ich verwende Fail2Ban nicht nur für die SSH-Bruteforcer... dafür wäre es fast wertlos. Ich blocke damit auch Email-Spammer, dämliche Script-Kiddie-Attacken auf meinen Webserver und noch einiges mehr. Ich verwende Fail2Ban nicht nur für die SSH-Bruteforcer… dafür wäre es fast wertlos. Ich blocke damit auch Email-Spammer, dämliche Script-Kiddie-Attacken auf meinen Webserver und noch einiges mehr.

]]>
Von: BubbleBobble /blog/fail2ban-hat-ausgedient/#comment-81660 BubbleBobble Fri, 26 Sep 2008 21:16:25 +0000 /blog/fail2ban-hat-ausgedient/#comment-81660 Hi, ich habe seit ein paar Wochen ähnliche Probleme mit fail2ban. logwatch listet mir fleißig einen Berg von Bans auf (teilweise bis zu 800 an einem tag). Ich vermute eher, daß da mittlerweile Botnetze verwendet werden. ICh bekomme meistens von nur einzelne Einträge pro IP, danach kommt sofort eine andere. D.h. der Betreiber merkt schnell, daß die Adresse "verbaucht" ist oder er läßt eine große Zahl von Hosts mit unterschiedlichen Passwörtern auf den Server los. Ich werde wohl gezwungen sein, den Port verlegen oder port-knocking einführen zu müssen, damit da endlich schluß ist. =) Hi,

ich habe seit ein paar Wochen ähnliche Probleme mit fail2ban. logwatch listet mir fleißig einen Berg von Bans auf (teilweise bis zu 800 an einem tag). Ich vermute eher, daß da mittlerweile Botnetze verwendet werden. ICh bekomme meistens von nur einzelne Einträge pro IP, danach kommt sofort eine andere.
D.h. der Betreiber merkt schnell, daß die Adresse “verbaucht” ist oder er läßt eine große Zahl von Hosts mit unterschiedlichen Passwörtern auf den Server los.
Ich werde wohl gezwungen sein, den Port verlegen oder port-knocking einführen zu müssen, damit da endlich schluß ist. =)

]]>
Von: Khark /blog/fail2ban-hat-ausgedient/#comment-64650 Khark Tue, 06 May 2008 21:07:43 +0000 /blog/fail2ban-hat-ausgedient/#comment-64650 Naja, klar kann man es so machen wie du es beschreibst. Aber letzten Endes geht es doch immer nur darum auszutesten ab wieviel fehlerhaften Logins in x Zeiteinheiten man gesperrt wird. Und genau da setzen doch mittlerweile die Tools an, da sie dies austesten. Zudem kommt bei fail2ban und anderen Log-Analysieren noch eine weitere Problematik namens "Remote Log Injection" hinzu. Lies dir mal folgenden Artikel durch: http://www.ossec.net/en/attacking-loganalysis.html Glaub mir, der einzige Weg zu mehr Sicherheit führt über weniger Software. (Ja auch weniger Security-Software.) Naja, klar kann man es so machen wie du es beschreibst.
Aber letzten Endes geht es doch immer nur darum auszutesten ab wieviel fehlerhaften Logins in x Zeiteinheiten man gesperrt wird.

Und genau da setzen doch mittlerweile die Tools an, da sie dies austesten.

Zudem kommt bei fail2ban und anderen Log-Analysieren noch eine weitere Problematik namens “Remote Log Injection” hinzu.
Lies dir mal folgenden Artikel durch: http://www.ossec.net/en/attacking-loganalysis.html

Glaub mir, der einzige Weg zu mehr Sicherheit führt über weniger Software. (Ja auch weniger Security-Software.)

]]>
Von: Sven /blog/fail2ban-hat-ausgedient/#comment-64496 Sven Mon, 05 May 2008 10:07:46 +0000 /blog/fail2ban-hat-ausgedient/#comment-64496 Ich überlege, ob ich auch fail2ban einsetzen werde (mein IMAP-Server wird penetriert), sehe allerdings nicht dein Problem ein: Warum entfernst du den Ban nach einem Timeout wieder? Ich stelle mir das ja so vor: Etwa 40 fehlgeschlagene Logins abwarten (denn so viel macht kein Mensch kurz hintereinander, und sonst hat er halt Pech), und dann einen Ban -- ohne zeitlichem Limit. Vielleicht kann man den Ban nach einer Woche wieder entfernen -- aber dem Bruteforcer ist dann garantiert die Lust vergangen. Viele Grüße, Sven Ich überlege, ob ich auch fail2ban einsetzen werde (mein IMAP-Server wird penetriert), sehe allerdings nicht dein Problem ein: Warum entfernst du den Ban nach einem Timeout wieder? Ich stelle mir das ja so vor: Etwa 40 fehlgeschlagene Logins abwarten (denn so viel macht kein Mensch kurz hintereinander, und sonst hat er halt Pech), und dann einen Ban — ohne zeitlichem Limit. Vielleicht kann man den Ban nach einer Woche wieder entfernen — aber dem Bruteforcer ist dann garantiert die Lust vergangen.

Viele Grüße,

Sven

]]>
Von: pfleidi /blog/fail2ban-hat-ausgedient/#comment-29462 pfleidi Fri, 17 Aug 2007 13:41:22 +0000 /blog/fail2ban-hat-ausgedient/#comment-29462 Den SSHD einfach auf einen anderen Port legen und das Problem ist gegessen. Ich hatte nach der Aenderung des Ports keine Angriffe mehr. In der ~/.ssh/config einfach den Server und den neuen Port eintragen und dann flutscht der Login genauso wie sonst. Ausserdem ist Login per Keyfile mit Passphrase und Key-Agent eh viel toller :) Den SSHD einfach auf einen anderen Port legen und das Problem ist gegessen. Ich hatte nach der Aenderung des Ports keine Angriffe mehr. In der ~/.ssh/config einfach den Server und den neuen Port eintragen und dann flutscht der Login genauso wie sonst.
Ausserdem ist Login per Keyfile mit Passphrase und Key-Agent eh viel toller :)

]]>
Von: Khark /blog/fail2ban-hat-ausgedient/#comment-29339 Khark Thu, 16 Aug 2007 19:26:59 +0000 /blog/fail2ban-hat-ausgedient/#comment-29339 Naja, ich benutze nicht meinen Nick als Loginnamen und haben nur diesen einem Account den Zugriff via SSH erlaubt. Das Passwort ist zu komplex und Root-Logins verboten. Der SSH-Dienst ist also von daher sicher. Aber fail2ban war bisher eben trotzdem recht nett.. Naja, ich benutze nicht meinen Nick als Loginnamen und haben nur diesen einem Account den Zugriff via SSH erlaubt.
Das Passwort ist zu komplex und Root-Logins verboten.

Der SSH-Dienst ist also von daher sicher.
Aber fail2ban war bisher eben trotzdem recht nett..

]]>
Von: dead_orc /blog/fail2ban-hat-ausgedient/#comment-29338 dead_orc Thu, 16 Aug 2007 19:22:53 +0000 /blog/fail2ban-hat-ausgedient/#comment-29338 Das größte Problem ist mMn, dass man mit fail2ban einfach Leute aussperren kann. logger mit den richtigen Parametern aufrufen und fertig. Ganz egal ob man root oder admin oder wheeler oder sonstwas ist. Außerdem ist der Nutzen halt irgendwie minimal - mit nem ordentlich geconften sshd kommt ein Angreifer höchstwahrscheinlich eh nicht rein, und nur um Logfilegrößen zu reduzieren lohnt es sich IMO nicht. Es ist vielleicht für nen Abmahnwahn praktisch, wenn man den ISPs von Angreifern sofort ne Mail schicken will... Das größte Problem ist mMn, dass man mit fail2ban einfach Leute aussperren kann. logger mit den richtigen Parametern aufrufen und fertig. Ganz egal ob man root oder admin oder wheeler oder sonstwas ist. Außerdem ist der Nutzen halt irgendwie minimal – mit nem ordentlich geconften sshd kommt ein Angreifer höchstwahrscheinlich eh nicht rein, und nur um Logfilegrößen zu reduzieren lohnt es sich IMO nicht. Es ist vielleicht für nen Abmahnwahn praktisch, wenn man den ISPs von Angreifern sofort ne Mail schicken will…

]]>
Von: chris /blog/fail2ban-hat-ausgedient/#comment-29292 chris Thu, 16 Aug 2007 15:57:17 +0000 /blog/fail2ban-hat-ausgedient/#comment-29292 Die Public Key Authentication behebt aber das Problem nicht. Die Logfiles schwillen trotz Public Key Authentication an. Daher finde ich persönlich Fail2Ban als Mittel, um mir die Logfiles sauber zu halten recht angenehm. Gut.. jetzt könnte man mit dem Argument von wegen "weniger Code im System minimiert.. blah blah" kommen. ;) Die Public Key Authentication behebt aber das Problem nicht. Die Logfiles schwillen trotz Public Key Authentication an. Daher finde ich persönlich Fail2Ban als Mittel, um mir die Logfiles sauber zu halten recht angenehm. Gut.. jetzt könnte man mit dem Argument von wegen “weniger Code im System minimiert.. blah blah” kommen. ;)

]]>