Re: Sinnvoll fail2ban und SSH-pubkey Authentifizierung kombinieren?
Am Freitag, 1. Juni 2012 schrieb Michael Stummvoll:
> > BTT: es gibt momentan keinen grund fail2ban nicht zusätzlich zu ssh
> > oder was auch immer
> > laufen zu haben
>
> Ich hab mir gerade mal die regulären ausdrücke in fail2ban
> angeschaut und wie das vorgeht. Mir viel da auf anhieb ein ziemlich
> heftiger angriffspunkt auf: Manche der konfigurierten logfiles geben ja
> z.T 1:1 meine eingaben als angreifer wieder (username z.B.). Ich könnte
> eingaben so preparieren, dass die auf die regulären ausdrücke
> einiger jails passen und damit gezielt bestimmte hosts ausperren. Zum
> beispiel den jail für apache kann man dafür ausnutzen. Wenn ich es
> damit schaffe, den server localhost per iptables blocken zu lassen,
> würde das den apachen lahmlegen, da er für irgendwas diese internal
> connections brauch.
>
> Ist gerade ziemlich herbeikonstruiert und ich habs nicht ausprobiert,
> aber darüber sollte man auch nachdenken.
Interessant.
Das ist auch immer so eine Überlegung von mir. Inwieweit verbaue ich mir
mit Sicherheitsmaßnahmen eigene Zugangsmöglichkeiten? Und was ist mein
eigener Admin-Overhead?
Nun, für mich reichen die SSH-Schlüssel und der andere Port derzeit. In
den auth-Protokollen war ja nicht mal auch nur ein Angriffs-Versuch für SSH
zu sehen. Der Server steht schon seit Jahren so im Netz und bislang
nichts.
Die Gefahr des Einbruchs über PHP-basierte Web-Anwendungen dürfte ohnehin
größer sein.
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Reply to: