Anzeige:
Ergebnis 1 bis 6 von 6

Thema: fail2ban bis zum Neustart

  1. #1
    Registrierter Benutzer
    Registriert seit
    Dec 2014
    Beiträge
    68

    fail2ban bis zum Neustart

    Hallo,

    ich würde meinen Debian gerne absichern. Bei 3 fehlgeschlagenen Versuchen sich via SSH einzuloggen, soll eine email gesendet werden und die IP soll bis zum Neustart geblockt werden.

    Aber wie schffe ich es das nach einem Neustart die IP wieder frei gegeben ist?

    Danke!

  2. #2
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    22.054
    ... warum nicht einfach Login per ssh nur mit Keys? Dann kannst Du Dir das Gerümpel sparen...

    (abgesehen davon erstellt fail2ban ja irgendein Filebasiertes Regelset für iptables AFAIR und wenn Du vor dem Service-Start eben jenes Regelset löschst dürfte sich das erledigt haben)
    Ich bin root - ich darf das.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Dec 2014
    Beiträge
    68
    Weil ich per Fernwartung teilweise über fremde Rechner auf die Linux Maschinen zugreifen muss.

    aber:
    Ich habe 20-30 idente Linux Rechner ... kann ich auf allen die selben keys definieren?
    Wenn nun mein Rechner/Server gehackt werden würde und die keys gestohlen werden hätte ich das selbe Problem?

    Nun, ich möchte mich nicht aussperren, daher wäre eine sichere Aussage für das Rücksetzen der Sperre praktisch :-)

  4. #4
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Ich finde fail2ban ja irgendwie klobig bzw zu komplex - später mehr zum warum. Weiterhin finde ich den Ansatz so lange zu speeren bis man neustart äußerst gefährlich, aber das hast ja selber bemerkt, dass du dich unterumständen selbst aussperrst. Mail würde ich keine Schicken - Spam. Die Idee bei Schlüsseln ist zwar eine Andere, ich wüsst gerade nicht warum das nicht gehen sollte - es ist aber dreckig und SSH bietet inzwischen diverse Tools an, um es richtig zu machen, ich glaube sogar, dass das weniger arbeit macht, als den Private Key zu teilen.
    Mein Vorschlag, du erlaubts 3 Verbindungen pro Stunde - oder was immer für dich eine passender Wert ist. Probierst du eine 4 Verbindung innerhalb einer Stunde aufzubauen, wirst du solange eine Stunde blockiert, bist eine Stunde ruhe war - Beispiel du machst den "Fehler" um 10:01, probierst noch mal 10:32, dann musst du bis 11:32 warten. iptables Kommandos sehen dann so aus:
    Code:
    iptables -A INPUT -i eth0 -p tcp -m state --dport 22 --state NEW -m recent --set
    iptables -A INPUT -i eth0 -p tcp -m state --dport 22 --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP
    iptables -A INPUT -i eth0 -p tcp -m state --dport 22 --state NEW -j ACCEPT
    Zwei bis drei Zeilen extra Konfiguration erscheinen mir äußerst schlank, ich bin mir sicher alles andere ist mit deutlich mehr Konfigurations aufwand verbunden - reicht mir schon als Grund, dass andere nicht zu wollen Du kannst da auch noch mehr machen, Loggen usw. da findet man viele Beispiele.

    Vorsichtshalber:
    Ein Vorteil von fail2ban und co ist, dass sie sehen was im Dienst passiert, iptables sieht nur das Netzwerk - dafür hast du bei fail2ban und co halt auch mehr konfigurations Aufwand.
    Geändert von nopes (31.03.20 um 13:12 Uhr) Grund: Typos
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  5. #5
    @SlopePointNZ Avatar von craano
    Registriert seit
    Jul 2004
    Beiträge
    1.313
    Code:
    # fail2ban-client unban --all
    Entweder vor dem Herunterfahren oder nach Neustart ausführen, wenn der Dienst gestartet ist.

    Wie schon geschrieben, birgt das die Gefahr sich selbst auszusperren.

    Code:
    [sshd]
    enabled = true
    port    = ssh
    filter  = sshd
    logpath = /var/log/auth.log
    maxretry = 4
    # 1 Day
    bantime = 86400
    findtime = 1d
    Wie Du die bantime auf "unendlich" einstellst weiß ich nicht.
    Ich sperre immer einen Tag, dann wird automatisch die Sperre aufgehoben. Kann mich notfalls aber mit einer anderen IP verbinden.

    Gruß
    craano
    Geändert von craano (01.04.20 um 13:27 Uhr)

  6. #6
    Registrierter Benutzer Avatar von sam600
    Registriert seit
    Sep 2007
    Beiträge
    341
    falls du eine feste-IP hast.

    es gibt bei fail2ban auch eine whitelist... dann kann man sich nicht aussperren...

Ähnliche Themen

  1. fail2ban Problem
    Von schani im Forum Linux Allgemein
    Antworten: 17
    Letzter Beitrag: 24.07.16, 00:44
  2. sendmail und fail2ban
    Von pibi im Forum Linux als Server
    Antworten: 1
    Letzter Beitrag: 18.05.13, 14:29
  3. Fail2ban und proftpd
    Von Tocotac im Forum Anwendungen Allgemein, Software
    Antworten: 2
    Letzter Beitrag: 13.04.09, 20:18
  4. How-To Fail2ban gesucht
    Von Nonverbal im Forum Linux als Server
    Antworten: 10
    Letzter Beitrag: 13.05.07, 18:40
  5. Fail2Ban
    Von MannOhMann im Forum Neue Programme/Versionen
    Antworten: 20
    Letzter Beitrag: 12.03.07, 16:10

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •