Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?

To: debian-user-german@lists.debian.org
Subject: Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
Date: Wed, 18 Nov 2020 20:10:08 +0100
Message-id: <[🔎] 2599ba33-ffa4-fc8e-dd73-fe0806409dbc@stefanbaur.de>
In-reply-to: <[🔎] E1kfSd2-009mAG-3b@drop.zugschlus.de>
References: <[🔎] 52169709-5a7f-ec8c-64ef-5be986ff522f@cgv.tugraz.at> <[🔎] E1kfSd2-009mAG-3b@drop.zugschlus.de>

Am 18.11.20 um 19:56 schrieb Marc Haber:
>> Ich hatte vor paar Jahren mal einen Link gehabt zu einer 3-4 stufigen
>> fail2ban logfile Überwachung mittels fail2ban:
>>
>> Wer 2 mal in einer Woche von fail2ban gebannt wurde, wird 1 Woche gebannt.
>> Wer 2 mal eine Woche gebannt wurde, wird 1 Monat gebannt.
>> Wer 2 mal einen Monat gebannt wurde (in 2 Monaten timeframe) wird 6
>> Monate gebannt.
> Die heutigen "Angreifer" ziehen sich sich alle paar Minuten über das
> Anbieter-API vollautomatisch eine neue Cloud-VM und kommen mit einer
> neuen IP-Adresse wieder. Außer einer Menge IP-Adressen in den
> Blacklisen wird Dir das nichts bringen.

Und um da noch einen positiv-konstruktiven Alternativvorschlag zu
bringen, anstatt nur "lass das, bringt nix":

2-Faktor-Authentisierung ist das, was man heutzutage nutzen will.

Hatten wir erst neulich in einem anderen Thread (den Lars aber
vielleicht nicht wahrgenommen hat).

Ich zitiere mal meine Aussage von dort (der Du ja auch zugestimmt hast):

> Im übrigen würde ich auch eine Linux-Maschine mit SSH nicht mehr direkt
> ins Internet hängen, sofern nicht irgendein 2FA-Mechanismus aktiv ist
> (sei es nun Keyfile + Passphrase oder Passwort + Token).

Für Passwort + Token ist es eine Glaubensfrage, was man benutzt.

Ich mag die OATH-basierten Verfahren, und weil ich ein bequemer und
fauler Sack bin, die Google-Implementierung (die aber, soweit ich das
sehen konnte, ohne "nach Hause telefonieren" funktioniert). Ich habe
aber auch bei einem Kunden, der totaler Google-Paranoiker ist, die
generische Version im Einsatz - läuft ebenfalls.

Google hat den Vorteil, dass es einem einen QR-Code zum Abscannen
generiert, selbst direkt an der Kommandozeile, ohne X, und auch noch
"Emergency Scratch Codes" ausspuckt (die sind dann 8- statt 6-stellig),
mit denen man auch noch ins System kommt, wenn man seinen
Token-Generator verlegt oder geschrottet hat.

Google-Version: libpam-google-authenticator
Generische Version: libpam-oath

Es gibt auch libpam-Plugins für Yubikeys und dergleichen; man kann wohl
auch OATH-Seeds in (manche) Yubikeys laden, das habe ich aber selbst
noch nicht genutzt; ich verwende OTP-Apps auf Android-Devices (Google
Authenticator und FreeOTP+ - das "+" macht einen Unterschied).

Gruß
Stefan

Reply to:

References:
- Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
  - From: Lars Schimmer <l.schimmer@cgv.tugraz.at>
- Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
Next by Date: Re: Windows 10 von Debian aus fernwarten
Previous by thread: Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
Next by thread: Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
Index(es):
- Date
- Thread