fail2ban fragen
fail2ban fragen
hallo,
ich benutze fail2ban für diverse Dienste (ssh, apache ,proftpd). Wenn eine IP 3 mal ein falsches Passwort bei einem Dienst angibt, wird sie für diesen Dienst gebannt.
Ich möchte aber dass diese IP für ALLE Dienste gebannt wird?!
Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?
mfg
chris7
ich benutze fail2ban für diverse Dienste (ssh, apache ,proftpd). Wenn eine IP 3 mal ein falsches Passwort bei einem Dienst angibt, wird sie für diesen Dienst gebannt.
Ich möchte aber dass diese IP für ALLE Dienste gebannt wird?!
Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?
mfg
chris7
- Saxman
- Beiträge: 4215
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: fail2ban fragen
Du willst also dass es maximal 10 Sekunden dauert deinen Server zu DoS´en?chris7 hat geschrieben: Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?
Das ist so ziemlich die schlechteste Idee die Ich heute gehört habe und kommt auf jeden Fall in die Top 100 der schlechtesten Ideen die Ich je gehört habe..
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: fail2ban fragen
ähm, schliesst sich das erste und das zweite nicht aus?!
Wenn eine IP 3 mal ein falsches Passwort bei einem Dienst angibt, wird sie für diesen Dienst gebannt.
Ich möchte aber dass diese IP für ALLE Dienste gebannt wird?!
denn wenn 3mal das falsche PW eingetippt wurde ist die IP doch schon gesperrt, also wie soll es denn zu 10mal kommen!?Kann man es mit fail2ban auch einrichten, dass wenn bei einem Dienst 10 mal in 10sec oder 60 mal in 1min ein falsches Passwort eingegeben wird, dass dann der gesamte Diesnt für ALLE IPs (auch die gar nichts gemacht haben) gesperrt wird?
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: fail2ban fragen
Der kleine aber feine Unterschied liegt doch bei den IP Adressen...
Übrigens chris7, wenn du das so konfiguriert hast, gibst du dann mal die IP Adresse des Servers raus wäre ja Lustig das zu testen
PS.: Hoffentlich kommst du dann noch an den Server
Übrigens chris7, wenn du das so konfiguriert hast, gibst du dann mal die IP Adresse des Servers raus wäre ja Lustig das zu testen
PS.: Hoffentlich kommst du dann noch an den Server
Re: fail2ban fragen
danke,
hab alles so eingestellt und funktioniert super. Bei 20 falschen Logins fahrt der Server jetzt sogar runter.
?Mist wo war nochmal der Button "Ironie-Aus"?
Ist wenigstens die erste Idee einigermaßen Akzeptabel und wie kann ich das realisieren?
mfg
chris
hab alles so eingestellt und funktioniert super. Bei 20 falschen Logins fahrt der Server jetzt sogar runter.
?Mist wo war nochmal der Button "Ironie-Aus"?
Ist wenigstens die erste Idee einigermaßen Akzeptabel und wie kann ich das realisieren?
mfg
chris
- Saxman
- Beiträge: 4215
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: fail2ban fragen
Wenn das machbar ist dann dürfte vermutlich dieser Teil der fail2ban config dafür relevant sein.
Und hier
Da wirst du wohl ein wenig experimentieren müssen. Vor allem mit:
Allerdings kenne Ich mich mit der Syntax von iptables nicht aus. Das ist jetzt allerdings alles von mir nur so ins Blaue geschossen.
Code: Alles auswählen
# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport
Code: Alles auswählen
# Action shortcuts. To be used to define action parameter
# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
[...]
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s
Code: Alles auswählen
port="%(port)s
Allerdings kenne Ich mich mit der Syntax von iptables nicht aus. Das ist jetzt allerdings alles von mir nur so ins Blaue geschossen.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: fail2ban fragen
Wobei hier im Forum schon des öfteren von fail2ban abgeraten wurde (hatte da auch mal einen Thread....)
http://debianforum.de/forum/viewtopic.php?t=92059
http://debianforum.de/forum/viewtopic.php?t=92059
Oh, yeah!
Re: fail2ban fragen
nützt da der Patch etwas (http://www.ossec.net/fail2ban.patch [hinter jede Erkennungszeile ein "$"]) oder ist es trotzdem noch zu unsicher?