fail2ban fragen

[chris7]

hallo,
ich benutze fail2ban für diverse Dienste (ssh, apache ,proftpd). Wenn eine IP 3 mal ein falsches Passwort bei einem Dienst angibt, wird sie für diesen Dienst gebannt.
Ich möchte aber dass diese IP für ALLE Dienste gebannt wird?!
Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?

mfg
chris7

[Saxman]

Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?

Du willst also dass es maximal 10 Sekunden dauert deinen Server zu DoS´en?

Das ist so ziemlich die schlechteste Idee die Ich heute gehört habe und kommt auf jeden Fall in die Top 100 der schlechtesten Ideen die Ich je gehört habe..

[Colttt]

ähm, schliesst sich das erste und das zweite nicht aus?!

Wenn eine IP 3 mal ein falsches Passwort bei einem Dienst angibt, wird sie für diesen Dienst gebannt.
Ich möchte aber dass diese IP für ALLE Dienste gebannt wird?!

Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?

denn wenn 3mal das falsche PW eingetippt wurde ist die IP doch schon gesperrt, also wie soll es denn zu 10mal kommen!?

[michaels]

Der kleine aber feine Unterschied liegt doch bei den IP Adressen...

Übrigens chris7, wenn du das so konfiguriert hast, gibst du dann mal die IP Adresse des Servers raus wäre ja Lustig das zu testen

PS.: Hoffentlich kommst du dann noch an den Server

[chris7]

danke,
hab alles so eingestellt und funktioniert super. Bei 20 falschen Logins fahrt der Server jetzt sogar runter.



?Mist wo war nochmal der Button "Ironie-Aus"?
Ist wenigstens die erste Idee einigermaßen Akzeptabel und wie kann ich das realisieren?
mfg
chris

[Saxman]

Wenn das machbar ist dann dürfte vermutlich dieser Teil der fail2ban config dafür relevant sein.

Code: Alles auswählen

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

Und hier

Code: Alles auswählen

# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

[...]
 
# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

Da wirst du wohl ein wenig experimentieren müssen. Vor allem mit:

Code: Alles auswählen

port="%(port)s

Allerdings kenne Ich mich mit der Syntax von iptables nicht aus. Das ist jetzt allerdings alles von mir nur so ins Blaue geschossen.

[Duff]

Wobei hier im Forum schon des öfteren von fail2ban abgeraten wurde (hatte da auch mal einen Thread....)

http://debianforum.de/forum/viewtopic.php?t=92059

[chris7]

nützt da der Patch etwas (http://www.ossec.net/fail2ban.patch [hinter jede Erkennungszeile ein "$"]) oder ist es trotzdem noch zu unsicher?