Virenschutz unter Linux

[novalix]

Meine besondere Konfiguration ist ja ein VPN-Server auf Port 443, und genau der ist auch über das Web erreichbar. Mittlerweile nutze ich seit gut 1/2 Jahr nftables .... und nftables ersetzt m.M.n. mit geradezu brachialer Effektivität fail2ban. Für mich ist failtoban damit regelrecht zu Code-Schrott geworden, ganz ähnlich wie zuvor auch schon sysvinit mit den log-levels, oder rsyslog und dmesg, oder auch sudo.....

Dein LAN ist nach außen abgeschottet bis auf den verschlüsselten Verkehr über das virtuelle private Netzwerk.
Das ist ja völlig OK und entspricht ganz offensichtlich Deinen Nutzungsanforderungen.
Dein LAN ist allerdings dementsprechend lediglich ein passiver Nutzer des Internets. Eine aktive Nutzung Deiner Ressourcen durch weitere Teilnehmer ist explizit nicht gewünscht und nicht erlaubt.
Da ist es nur logisch, dass Du mit fail2ban nichts anfangen kannst.

Würdest Du Ressourcen betreuen, die explizit für die öffentliche Nutzung vorgesehen sind, müsstest Du wohl oder Übel Deine Netzfilter überarbeiten. Du könntest dann zu der Erkenntnis gelangen, dass es verdammt schwierig bis unmöglich ist, auf TCP/IP-Level zu entscheiden, was gewollter und was mißbräuchlicher Netzwerkverkehr ist.
Wenn Deine Ressource im Internet also nicht nur bei bestimmten Gestirnskonstellationen erreichbar sein soll und Du trotzdem verhindern willst, dass böswillige Nutzer Deinen Dienst missbrauchen, solltest Du den Verkehr auf Applikationsebene monitoren und ggf. automatisiert eingreifen.
Voila: "fail2ban - Back from the Junkyard Teil 1312"
Und mit ihm im Schlepptau kommt der alte, sehr, sehr alte und gebrechliche rsyslogd.
Schrott von gestern, der allerdings auch heute noch nachvollziehbar funktioniert im Gegensatz zu hochmodernen journal.

[TomL]

Dein LAN ist nach außen abgeschottet bis auf den verschlüsselten Verkehr über das virtuelle private Netzwerk.

Ja, für alles uneingeladen von außen kommende.

Würdest Du Ressourcen betreuen, die explizit für die öffentliche Nutzung vorgesehen sind, müsstest Du wohl oder Übel Deine Netzfilter überarbeiten.

Ja, das stimmt ... und zwar durch Ergänzungen. Das, was jetzt steht, hätte imho im Wesentlichen jedoch auch noch danach Bestand. Du hast auch wegen meines scheinbar unpassenden 'Schrott-Urteils' bezogen auf failtoban Recht. Diese Beurteilung passt wirklich nur auf meine Nicht-öffentliche-Server-Umgebung. Aber ich hatte ja mehrfach eingeräumt, dass ich keinen öffentlichen Server betreibe und das mir bekannt ist, dass dabei völlig andere Regeln gelten. Solche Installationen beurteile ich deswegen auch gar nicht, weil mir dafür schlichtweg das KnowHow fehlt. Deswegen habe ich auch mehrfach deutlich gemacht, dass ich genau solche Installationen ausdrücklich nicht meine und mich allein auf private Maschinen und möglicherweise einem lokalen NAS beziehe.

Darüberhinaus ist es auch nicht die Intention dieses Thread, eine solche Installation mit öffentlichem Server zu betrachten, siehe TO:

Es geht mir nicht so sehr darum, wie man das Thema behandelt, wenn Linux als Fileserver eingesetzt wird, sondern wie man das System selbst sichern kann.

Deine Klatsche ist natürlich sachlich völlig korrekt und den Aussagen kann man nicht widersprechen, was ich auch gar nicht tue. Ich stelle hierbei nur fest, dass das m.M.n aber eben leider auch am Thema vorbeizielt. Mir geht es nicht um öffentliche Server und die betrachte ich auch nicht. Ich versuche lediglich mein nicht-öffentliches Netzwerk gegen Manipulation von außen zu sichern und im zweiten Schritt natürlich auch gegen von innen initiierte oder durch User fahrlässig autorisierte Manipulation. Bezogen auf dieses LAN/HW/SW-Integritäts-Interesse von mir unterscheide ich also gar nicht, ob die Attacke von einem internen Virus ausgeht oder ob es ein von außen agierender Bot ist oder ob es gar der User selber ist. Meine Firewall-Konzept soll sich umfassend mit multiplen Angriffs-Vektoren befassen und nach besten Wissen und Gewissen versuchen, jedem einzelnen Vektor eine konkrete Maßnahme entgegen zustellen.