Re: sshguard im Vergleich mit fail2ban (war: Re: Attacken auf ssh-Server)

To: debian-user-german@lists.debian.org
Subject: Re: sshguard im Vergleich mit fail2ban (war: Re: Attacken auf ssh-Server)
From: Martin Johannes Dauser <mdauser@cs.sbg.ac.at>
Date: Mon, 24 Jun 2019 10:16:25 +0200
Message-id: <[🔎] 1561364185.14524.5.camel@cs.sbg.ac.at>
Reply-to: mdauser+debian-user-german@cs.sbg.ac.at
In-reply-to: <[🔎] 1910555.I1mtKGFY6j@merkaba>
References: <[🔎] 20190621094245.3615fe61@einstein.curt.lan> <[🔎] 20190621074639.6vav7jmi4dre7tda@bulldog.preining.info> <[🔎] 6f9fbfd044b6e6d491b49ed8df5ffbdf@alphamar.org> <[🔎] 1910555.I1mtKGFY6j@merkaba>

Hallo!

fail2ban hat ja mit langen IP-Listen beim shutdown/reboot so seine
Probleme, da die iptables-Einträge Zeile für Zeile ausgetragen werden.
Das kann dann schon EINIGE Minuten dauern. Ich glaube die jüngste
fail2ban Version hat dafür bereits eine neue Vorgehensweise, aber in der
Version in stable ...

Ich vermute sshguard löst dies eleganter, da hier eine eigene Chain
angelegt wird.

Bei fail2ban kann man die regex, welche zur Erkennung von fehlerhaften
Logins genutzt werden einsehen und modifizieren. sshguard arbeitet
natürlich auch mit regex, scheint aber nicht so einfach veränderbar zu
sein?

Martin

On Fri, 2019-06-21 at 11:43 +0200, Martin Steigerwald wrote:
> Hi.
> 
> Alexander Reichle-Schmehl - 21.06.19, 10:23:
> > Am 2019-06-21 09:46, schrieb Norbert Preining:
> > > sshguard, oder ssh auf einen anderen Port legen.
> > 
> > Das kannte ich noch gar nicht. Weiß zufällig jemand, wie sich sshguard
> > mit fail2ban vergleichen lässt?
> 
> Ich verwende auch sshguard.
> 
> Bezüglich SSH funktioniert es zuverlässig. Es soll eigentlich auch mit 
> Dovecot funktionieren, aber irgendwie habe ich den Eindruck, dass das 
> auf meinem Server nicht klappt.
> 
> Ich wählte sshguard weil es ein relativ kleines in C geschriebenes 
> Programm ist und kaum Abhängigkeiten hat. Für SSH reicht außerdem, es 
> einfach nur zu installieren.
> 
> Es unterstützt jedoch weniger Dienste und Funktionen. Gerade da sshguard 
> bei mir bislang mit Dovecot nicht zu funktionieren scheint, dachte ich 
> daran, zumindest auf dem Server wo Dovecot läuft, fail2ban laufen zu 
> lassen. Denn auf Dovecot hab ich immer wieder Brute Force-Attacken. Ich 
> habe daher die Woche alle Passwörter vorsorglich durch deutlich längere 
> Passwörter ausgetauscht. Für Apache reicht mir bislang mod-evasive.
> 
> Ein Artikel im ArchLinux Wiki fasst das schön zusammen:
> 
> "sshguard is different from the latter in that it is written in C, is 
> lighter and simpler to use with fewer features while performing its core 
> function equally well. "
> 
> Dort steht auch: "sshguard is not vulnerable to most (or maybe any) of 
> the log analysis vulnerabilities that have caused problems for similar 
> tools. ". Der Link in dem Satz zeigt jedoch mittlerweile ins Leere. Das 
> würde mich aber mal interessieren, was damit gemeint ist. Im Moment aber 
> nicht genug, um danach extra zu suchen.
> 
> Ciao,

Reply to:

Follow-Ups:
- Re: sshguard im Vergleich mit fail2ban
  - From: Sven Hartge <sven@svenhartge.de>

References:
- Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>
- Re: Attacken auf ssh-Server
  - From: Norbert Preining <preining@logic.at>
- Re: Attacken auf ssh-Server
  - From: Alexander Reichle-Schmehl <alexander@alphamar.org>
- sshguard im Vergleich mit fail2ban (war: Re: Attacken auf ssh-Server)
  - From: Martin Steigerwald <martin@lichtvoll.de>

Prev by Date: Re: Frage zu kvm / qemu und Textmodus
Next by Date: Re: sshguard im Vergleich mit fail2ban
Previous by thread: sshguard im Vergleich mit fail2ban (war: Re: Attacken auf ssh-Server)
Next by thread: Re: sshguard im Vergleich mit fail2ban
Index(es):
- Date
- Thread