[Erledigt] Verständnisfrage zu fail2ban und iptables

Alles rund um sicherheitsrelevante Fragen und Probleme.
BenutzerGa4gooPh

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von BenutzerGa4gooPh » 17.09.2017 15:55:28

EEK hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 15:52:42
Sorry, aber was jetzt? Sperrt man alle Ports, oder macht es keinen Sinn?
Obigen Beitrag editiert.

Die Aussage von @niemand ist weiterhin zu beachten. Bezieht sich auch auf Traffic von LAN -> WAN, der in dieser Richtung von Programmen initiiert wird und zu berücksichtigen ist. Z. B. per Stateful Packet Inspection, heutzutage state of the art. Stateful Packet Inspection ist also ebenfalls zu realisieren. Oder manuell definieren: Zulässigen Traffic LAN -> WAN (outbound, egress). Kommunikation ist bidirektional!

In Richtung WAN -> LAN (inbound, ingress) schützt die Stateful Packet Inspection Firewall, also manuelle Eingriffe für Öffnung von Ports für vom Internet erreichbare Anwendungen notwendig. Oder die Default-Deny-Any-Regel dropt. So wie im vorherigen Beitrag beschrieben.

Ohne Firewall, ohne PAT/NAT: Programme öffnen Ports ohne definierte Regeln. Wiederum @niemandes Aussage berücksichtigen: Alle Dienste öffentlich erreichbar! Ungut ...

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 18.09.2017 11:53:45

Okay, verstehe. Danke!

struppi
Beiträge: 300
Registriert: 02.12.2011 14:12:09

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von struppi » 18.09.2017 15:23:45

EEK hat geschrieben: ↑ zum Beitrag ↑
16.09.2017 17:42:55
Nicht falsch verstehen, das ist jetzt nicht böse gemeint, aber drücke ich mich echt so unverständlich aus?
Ich weiß was bzw. wofür fail2ban ist, und dass es dynamische Regeln erstellt, um IP's zu sperren.
Ich will wissen, ob es (zumindest theoretisch) möglich ist, dass die von fail2ban erstellten Regeln nicht mehr greifen, weil ich "per Hand" über iptables z.B. den Port 22 "für alle" öffne?
Das war für mich aus deinem Beitrag nicht ersichtlich gewesen. Du hast bis dahin nicht davon gesprochen, dass du iptables von Hand manipulieren möchtest. Wobei ich nicht weiss ob das überhaupt sinnvoll ist. Ich mach das nicht und habe einige Server - die auch öffentlich erreichbar sind - am laufen. Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 20.09.2017 08:21:42

struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
Das war für mich aus deinem Beitrag nicht ersichtlich gewesen. Du hast bis dahin nicht davon gesprochen, dass du iptables von Hand manipulieren möchtest.
Vielleicht reden wir ja aneinander vorbei. Mit "per Hand" meine ich so was in der Art wie hier: https://wiki.debian.org/iptables
Zumindest dachte ich, dass das bereits in meinem ersten Post klar war.
EEK hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 14:29:04
...alle Ports zu sperren...wenn ich per iptables z.B. Port 22 offen lasse...
Falls es nicht ersichtlich war, gelobe ich Besserung beim nächsten Mal :D
struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
...Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.
Das sehe ich anders. Ich bin sicher kein Experte bei Linux und Debian ist ein klasse OS. Aber auch bei Debian würde ich mich nicht immer darauf verlassen, dass alle Einstellungen von Haus aus sicher sind. Und selbst wenn, nützt mir das nichts, wenn Software Fehler enthält. Laut Debian-Security Newsletter gibt es z.B. bei Apache2 derzeit eine Sicherheitslücke die noch nicht gefixt ist.
https://security-tracker.debian.org/tra ... -2017-9798
https://blog.fuzzing-project.org/60-Opt ... emory.html

Aber noch mal, ich will hier weder streiten, noch schlau daherreden. Wenn ich unrecht habe, lasse ich mich gerne eines besseren belehren.

DeletedUserReAsG

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von DeletedUserReAsG » 20.09.2017 11:49:42

Und iptables würde dir bei dem Apache-Bug wie helfen?

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 20.09.2017 12:27:01

niemand hat geschrieben: ↑ zum Beitrag ↑
20.09.2017 11:49:42
Und iptables würde dir bei dem Apache-Bug wie helfen?
Habe ich das irgendwo behauptet?
Diese Ausage von struppi
struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.
klang für mich nur so, als müsste ich mich bei Debian sowieso um nichts kümmern, weil es von Haus aus absolut sicher ist, solange man nicht selber was ändert.

struppi
Beiträge: 300
Registriert: 02.12.2011 14:12:09

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von struppi » 08.11.2017 08:07:37

EEK hat geschrieben: ↑ zum Beitrag ↑
20.09.2017 12:27:01
Diese Ausage von struppi
struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.
klang für mich nur so, als müsste ich mich bei Debian sowieso um nichts kümmern, weil es von Haus aus absolut sicher ist, solange man nicht selber was ändert.
Um "nichts kümmern" ist eine falsche Interpretation. Du musst natürlich Wissen, was du wie benutzt und warum. Aber das von dir oben genannte Beispiel ist genau das was ich meine, es gibt eine Lücke und die wird im Bugreport gemeldet und dann irgendwann gefixed. Du musst dich um nichts kümmern.

Und wenn du auf so einer Ebene anfängst zu "fixen" dann sollte man Wissen was man tut. Ich weiss es nicht und lass daher lieber die Finger davon.

Das ganze hat aber nichts mit gutes oder schlechtes Betriebsystem zu tun. Ich halte es einfach nicht für so selbstverständlich in iptables rumzuwerkeln wie du es darstellst. Das ist eher ein Werkzeug für Spezialisten.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 14.12.2017 14:07:09

struppi hat geschrieben: ↑ zum Beitrag ↑
08.11.2017 08:07:37
Um "nichts kümmern" ist eine falsche Interpretation. Du musst natürlich Wissen, was du wie benutzt und warum. Aber das von dir oben genannte Beispiel ist genau das was ich meine, es gibt eine Lücke und die wird im Bugreport gemeldet und dann irgendwann gefixed. Du musst dich um nichts kümmern.
Natürlich wird es dann gefixt. Aber um gefixt zu werden, muss der Bug erstmal bekannt sein. Und auch in Debian oder Software für Debian wird nicht jeder Bug (gleich) gefunden. Und bis dahin (kann) das ein Sicherheitsrisiko sein. Außerdem gibt es nicht umsonst das "Securing Debian Manual", was sich nicht mit "absichern von Bugs" beschäftigt. Also ist "du musst dich um nichts kümmern" nun mal nicht richtig. Zumindest solange wir von "Einstellungen anpassen" oder "Sicherheitsvorkehrungen treffen" reden. Von Quellcode ändern, Bugs beheben... habe ich nie gesprochen.
struppi hat geschrieben: ↑ zum Beitrag ↑
08.11.2017 08:07:37
Und wenn du auf so einer Ebene anfängst zu "fixen" dann sollte man Wissen was man tut. Ich weiss es nicht und lass daher lieber die Finger davon.
Von welcher "Ebene" reden wir denn hier? Bugfix? Dann ja, davon lasse ich sicher die Finger. Hab ich aber wie gesagt auch nie behauptet, dass ich das kann oder machen will.
struppi hat geschrieben: ↑ zum Beitrag ↑
08.11.2017 08:07:37
Das ganze hat aber nichts mit gutes oder schlechtes Betriebsystem zu tun. Ich halte es einfach nicht für so selbstverständlich in iptables rumzuwerkeln wie du es darstellst. Das ist eher ein Werkzeug für Spezialisten.
Ich halte Debian nicht für schlecht (sonst würde ich es nicht benutzten). Ich gebe dir auch Recht, dass "komplexe" Regeln mit iptables von Profis erstellt werden sollten, oder besser gesagt, man die Finger davon lassen sollte, wenn man nicht weiß was man tut. Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.

TomL

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von TomL » 14.12.2017 15:02:10

EEK hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 14:07:09
Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.
Um was zu erreichen? Wenn Du einen bestimmten Port sperren willst, warum deinstallierst Du dann nicht einfach den anscheinend nicht benötigten Dienst, der auf diesem Port lauscht? Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann? Und wenn Du Input-Ports sperren möchtest... auf einem Desktop-PC hinter einem Standard-Consumer-DSL-Router...???.. äh, was soll das bringen...?... der Router lässt doch imho sowieso nix durch,was nicht von innen initiiert wurde.... oder täusche ich mich da?

Also, meine Meinung.... Iptables auf einem Desktop-PC (hinter Router) sind m.E. eher dafür da Ports freizugeben, und nicht um zu sperren. Zum Beispiel um einen Rechner, dem der Zugangs ins Internet stark reglementiert werden soll, zu blocken.... aber dann nach dem Motto "Es ist grundsätzlich alles verboten, was nicht ausdrücklich erlaubt ist.", wobei in dem Fall generell alles verboten ist und nur einzelne Ports explizit freigegeben werden. Aber einzelne Ports sperren und dann glauben, eine boshafte Anwendung einigt sich mit einem fremden Host nicht einfach auf einen anderen freien Port und verwendet diesen.... ich schätze, da hauts dann nicht wirklich mit der Sicherheit hin.

Viel kaputt machen kann man mit Iptables eigentlich nicht. Entweder das System funktioniert noch, oder eben nicht. Nur ob die gesetzten Iptables tatsächlich die Sicherheit gewähren, die man sich vorstellt... tja, das steht auf einem anderen Blatt. Und wenn man Pech hat, hat man nur einen Post-It mit dem Wort "Sicherheit" auf den Bildschirm geklebt.... tatsächlich hat man aber nix erreicht.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 15.12.2017 09:14:42

TomL hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 15:02:10
EEK hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 14:07:09
Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.
Um was zu erreichen? Wenn Du einen bestimmten Port sperren willst, warum deinstallierst Du dann nicht einfach den anscheinend nicht benötigten Dienst, der auf diesem Port lauscht? Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann? Und wenn Du Input-Ports sperren möchtest... auf einem Desktop-PC hinter einem Standard-Consumer-DSL-Router...???.. äh, was soll das bringen...?... der Router lässt doch imho sowieso nix durch,was nicht von innen initiiert wurde.... oder täusche ich mich da?

Also, meine Meinung.... Iptables auf einem Desktop-PC (hinter Router) sind m.E. eher dafür da Ports freizugeben, und nicht um zu sperren. Zum Beispiel um einen Rechner, dem der Zugangs ins Internet stark reglementiert werden soll, zu blocken.... aber dann nach dem Motto "Es ist grundsätzlich alles verboten, was nicht ausdrücklich erlaubt ist.", wobei in dem Fall generell alles verboten ist und nur einzelne Ports explizit freigegeben werden. Aber einzelne Ports sperren und dann glauben, eine boshafte Anwendung einigt sich mit einem fremden Host nicht einfach auf einen anderen freien Port und verwendet diesen.... ich schätze, da hauts dann nicht wirklich mit der Sicherheit hin.

Viel kaputt machen kann man mit Iptables eigentlich nicht. Entweder das System funktioniert noch, oder eben nicht. Nur ob die gesetzten Iptables tatsächlich die Sicherheit gewähren, die man sich vorstellt... tja, das steht auf einem anderen Blatt. Und wenn man Pech hat, hat man nur einen Post-It mit dem Wort "Sicherheit" auf den Bildschirm geklebt.... tatsächlich hat man aber nix erreicht.
Also zunächst Mal, um dir zwei Beispiel zu nenne. Fail2ban installiert bei mir unter Debian „bsd-mailx“ mit und öffnet den smtp Port. Ob man „bsd-mailx“ nun deinstallieren/deaktivieren kann, sei mal dahingestellt. Es wird trotzdem erst Mal ein Port geöffnet, den das eigentliche Programm zum funktionieren nicht braucht und den ich gar nicht öffnen wollte. Und ja, wenn man es richtigmacht, sollte man so was überprüfen. Aber wenn, wenn, wenn… würde Menschen keine Fehler passieren. Also Zu sagen „Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann?“ Vielleicht will ich einen Dienst laufen lassen, der einen anderen Dienst laufen lässt, bei dem ich mir (erstmal) nicht sicher bin, ob der „fremde“ Dienst benötigt wird. Ja, zu Hause hinter dem Router ist so was egal. Aber wie gesagt, vielleicht weiß ich nicht ob ob der Dienst wirklich benötigt wird, und will einfach Mal schauen was passiert, wenn ich den Port sperre.

Zweites Beispiel: Bei uns in der Firma wird viel mit Virtualisierung gearbeitet. Wir haben vSphere mit Linux und Windows VMs, die von den Softwareentwicklern und Testern zum Testen verwendet werden. Auf den VMs werden immer wieder Ports gesperrt um verschiedene Dinge zu testen. Also nur, weil es im „normalen“ Einsatz keinen Sinn macht oder hier keiner nutzt, einzelne Ports zu sperren, heißt das noch lange nicht, dass das niemand braucht.

Aber um nun deinen Fragen zu beantworten: Den letzten Satz habe ich nicht geschrieben, weil ich behaupte, ich sperre irgendwelche Ports, oder dass das auf jeden Fall Sinn macht… Sondern um auf den Satz von „Struppi“ zu antworten. Bzw. ich wollte damit nur sagen, dass man nicht immer Profi sein muss, um am Betriebssystem, Software, iptables, Einstellungen… etwas zu ändern. Aber wenn es dich glücklicher macht, oder mir dann nicht gleich wieder irgendwas unterstellt wird, was ich nie gesagt habe. Mein letzter Satz hätte wie folgt lauten müssen: "Man muss nicht immer Profi sein, um (Sicherheits)Einstellungen zu ändern. Auch also nicht Guru kann man was richtig machen".

BenutzerGa4gooPh

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von BenutzerGa4gooPh » 15.12.2017 09:27:49

Man kann auch so rangehen:
Alles was gesperrt wird, loggen (Log für Default-Deny-Regel am Ende der Filter-Kette). Nur freigeben, was man bekanntermaßen benötigt. Also vor der Default-Deny-Regel. Was unbekannt war - aber benötigt wird (siehe "Drop-Logs" und Nachdenken/Recherche darüber) im Nachhinein und wiederum vor der Default-Deny-Regel freigeben.
Zuletzt Scan von außen mit Debiannmap. Ist nicht Allheilmittel - aber schon mal gut zu wissen, was von außen erreichbar ist.
Die GUI für nmap ist Debianzenmap. Für Nichtexperten ganz hilfreich. Default-Scans kann man ändern/erweitern. :wink:

Eine Stateful Packet Inspection Firewall (auch mit iptables auf einem Linux-Host/Server realisierbar) sperrt erst mal alles aus der Gegenrichtung: Initiierter Traffic nur von 1 Seite möglich, also (meist) LAN/Server -> WAN/Internet. In die SPI-FW "bohrt" man bei Bedarf einzelne, wohlüberlegte "Löcher" (Ports) für Erreichbarkeit von Diensten im LAN (oder auf Server) vom WAN/Internet.

TomL

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von TomL » 15.12.2017 10:40:12

EEK hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 09:14:42
Also zunächst Mal, um dir zwei Beispiel zu nenne. Fail2ban installiert bei mir unter Debian „bsd-mailx“ mit und öffnet den smtp Port.
Das stimmt nicht, mailx wird nur als Paket empfohlen, aber definitiv nicht gleichzeitig mit fail2ban installiert. Entweder war exim vorher schon installiert, oder es wurde nachträglich installiert. Und wenn man exim nicht will oder nicht benötigt, kann man testweise auch einfach den Dienst stoppen.

Code: Alles auswählen

systemctl stop exim4.service
Danach wird auf Port 25 nicht mehr gelauscht. Darüber hinaus ist es m.M.n. sowieso Quatsch, den Port zu sperren, weil eh nur auf Localhost gelauscht wird. Imho kann der Port also gar nicht von außerhalb des PCs missbraucht werden. Und wenn man den Dienst wirklich dauerhaft nicht nutzt, wird er endgülltig deaktiviert:

Code: Alles auswählen

systemctl disable exim4.service
Ich halte die Verwendung von Iptables hier für völlig unnötig. Zum zweiten Beispiel kann ich nix sagen, weil mir das Szenario zu ungenau beschrieben ist.... ist aber auch nicht wirklich wichtig... 'jeder wie er will' ist meine Devise....

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 15.12.2017 11:19:48

TomL hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 10:40:12
EEK hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 09:14:42
Also zunächst Mal, um dir zwei Beispiel zu nenne. Fail2ban installiert bei mir unter Debian „bsd-mailx“ mit und öffnet den smtp Port.
Das stimmt nicht, mailx wird nur als Paket empfohlen, aber definitiv nicht gleichzeitig mit fail2ban installiert. Entweder war exim vorher schon installiert, oder es wurde nachträglich installiert.

Code: Alles auswählen

systemctl stop exim4.service
Na gut, dann stimmt es eben nicht. Dann frage ich mich nur, warum "bsd-mailx" vor der Installation von fail2ban nicht installier war, und danach schon, obwohl "exim" nicht installier ist und das unter Debian, Ubuntu und CentOS.
TomL hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 10:40:12
Und wenn man exim nicht will oder nicht benötigt, kann man testweise auch einfach den Dienst stoppen.
Danach wird auf Port 25 nicht mehr gelauscht. Darüber hinaus ist es m.M.n. sowieso Quatsch, den Port zu sperren, weil eh nur auf Localhost gelauscht wird. Imho kann der Port also gar nicht von außerhalb des PCs missbraucht werden. Und wenn man den Dienst wirklich dauerhaft nicht nutzt, wird er endgülltig deaktiviert:

Code: Alles auswählen

systemctl disable exim4.service
Na dann, weil es hier (was nur ein Beispiel war) Quatsch ist, ist es natürlich grundsätzlich Quatsch eine Port zu sperren. Abgesehen davon, hatte ich geschrieben, dass ich den Port (egal welchen) vielleicht auch nur zum Testen sperren will. Aber wenn du sagst, es ist Quatsch, muss das natürlich für die gesamte Menschheit und auf jeden Fall stimmen.

TomL

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von TomL » 15.12.2017 12:00:14

EEK hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 11:19:48
Dann frage ich mich nur, warum "bsd-mailx" vor der Installation von fail2ban nicht installier war, und danach schon, obwohl "exim" nicht installier ist und das unter Debian, Ubuntu und CentOS.
Exim ist der default-mta im Paket bsd-mailx. Ich weiss nicht, was mit ubuntu ist, oder mit centos, und das interessiert mich auch nicht, unter Debian wird es jedenfalls nicht per default mit fail2ban installiert:

Code: Alles auswählen

apt install fail2ban -s
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
The following additional packages will be installed:
  python3-pyinotify python3-systemd whois
Vorgeschlagene Pakete:
  mailx system-log-daemon monit python-pyinotify-doc
Die folgenden NEUEN Pakete werden installiert:
  fail2ban python3-pyinotify python3-systemd whois
0 aktualisiert, 4 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Inst fail2ban (0.9.6-2 Debian:9.3/stable [all])
Inst python3-pyinotify (0.9.6-1 Debian:9.3/stable [all])
Inst python3-systemd (233-1 Debian:9.3/stable [amd64])
Inst whois (5.2.17~deb9u1 Debian:9.3/stable [amd64])
Conf fail2ban (0.9.6-2 Debian:9.3/stable [all])
Conf python3-pyinotify (0.9.6-1 Debian:9.3/stable [all])
Conf python3-systemd (233-1 Debian:9.3/stable [amd64])
Conf whois (5.2.17~deb9u1 Debian:9.3/stable [amd64])
...ist es natürlich grundsätzlich Quatsch eine Port zu sperren. Abgesehen davon, hatte ich geschrieben, dass ich den Port (egal welchen) vielleicht auch nur zum Testen sperren will. Aber wenn du sagst, es ist Quatsch, muss das natürlich für die gesamte Menschheit und auf jeden Fall stimmen.
Bitte verdreh nicht meine Aussagen in eine Richtung, die nichts mit meiner Aussage zu tun haben. Ich habe das "Quatsch" allein auf den Sachverhalt "localhost" bezogen und auf meine Eingangsfrage in meinem ersten Post, was man überhaupt erreichen will. Und wenn Du ein Beispiel nennst, solltest Du auch akzeptieren, wenn andere diesen Andwendungsfall als "sinnbefreit" einschätzen. Wenn das Ziel allerdings ist, einfach nur mal zu sehen, ob man imstande ist, einen Port zu sperren... dann ist das auch kein Quatsch. Die Kernfrage bleibt jedoch, was man für den Produktivbetrieb erreichen will. Und für den Produktivibetrieb gibt es m.E. sinnvolle echte Lösungen und Lösungen, die nur vermeintlich was lösen. Insbesondere haben Iptables und Virenscanner unter Linux ein großes Potential für Missverständnisse, wenn man nicht Windowsgewohnheiten in seinen Zielvorstellungen ausblendet.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 15.12.2017 13:59:53

TomL hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 12:00:14
EEK hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 11:19:48
Dann frage ich mich nur, warum "bsd-mailx" vor der Installation von fail2ban nicht installier war, und danach schon, obwohl "exim" nicht installier ist und das unter Debian, Ubuntu und CentOS.
Exim ist der default-mta im Paket bsd-mailx. Ich weiss nicht, was mit ubuntu ist, oder mit centos, und das interessiert mich auch nicht, unter Debian wird es jedenfalls nicht per default mit fail2ban installiert:
...ist es natürlich grundsätzlich Quatsch eine Port zu sperren. Abgesehen davon, hatte ich geschrieben, dass ich den Port (egal welchen) vielleicht auch nur zum Testen sperren will. Aber wenn du sagst, es ist Quatsch, muss das natürlich für die gesamte Menschheit und auf jeden Fall stimmen.
Gut, mag sein, dass ich das bei Debian falsch in Erinnerung hatte, und das Beispiel wirklich falsch/Quatsch war. Ich kann die Zeit nicht zurückdrehen um es zu kontrollieren. Auf meiner Debian VM ist jedenfalls kein exim, dafür aber fail2ban und bsd-mailx. Aber lassen wir das, ich will gar nicht behaupten, dass ich hier Recht habe.
TomL hat geschrieben: ↑ zum Beitrag ↑
15.12.2017 12:00:14
Bitte verdreh nicht meine Aussagen in eine Richtung, die nichts mit meiner Aussage zu tun haben. Ich habe das "Quatsch" allein auf den Sachverhalt "localhost" bezogen und auf meine Eingangsfrage in meinem ersten Post, was man überhaupt erreichen will. Und wenn Du ein Beispiel nennst, solltest Du auch akzeptieren, wenn andere diesen Andwendungsfall als "sinnbefreit" einschätzen. Wenn das Ziel allerdings ist, einfach nur mal zu sehen, ob man imstande ist, einen Port zu sperren... dann ist das auch kein Quatsch. Die Kernfrage bleibt jedoch, was man für den Produktivbetrieb erreichen will. Und für den Produktivibetrieb gibt es m.E. sinnvolle echte Lösungen und Lösungen, die nur vermeintlich was lösen. Insbesondere haben Iptables und Virenscanner unter Linux ein großes Potential für Missverständnisse, wenn man nicht Windowsgewohnheiten in seinen Zielvorstellungen ausblendet.
Mal abgesehen davon, dass es überhaupt nicht meine Absicht war, hier irgendwas zu verdrehen, machst du das doch bei mir die ganze Zeit. Das Einzige was ich gesagt haben, und das habe ich mittlerweile oft genug wiederholt, war, dass man nicht unbedingt für alles immer Profi sein muss, um es richtig zu machen. Auch Debian nicht grundsätzlich sicher sein muss. Dass ich mir, trotz Komplexität von iptables, trotzdem zutrauen würde, einen Port per itables zu sperren. Und es sehr wohl Fälle gibt, sei es nur zum Testen, einen einzelnen Port zu sperren. Von „das macht man so“ oder „das ergibt Sinn“… habe ich nie ein Wort gesagt. Aber sobald ich „iptables“ schreibe, wird mir hier unterstellt, dass das was ich vorhabe (was habe ich denn eigentlich vor? Meine Ausgangsfrage ist längst beantwortet, und auch das habe ich bereits gesagt) ja Quatsch und Sinnlos ist. Und selbst wenn es keinen Fall in der Praxis gäbe, bei dem es Sinn macht, dann gehöre zumindest ich zu den Menschen, die „learning by doing“ bevorzugen, weil dadurch wesentlich schneller und besser lerne. Und spätestens dann macht es Sinn, weil ich zumindest sehe, dass das nichts bringt und/oder es bessere Alternativen gibt.

Antworten