On 2020-11-18 19:56, Marc Haber wrote:
On Wed, 18 Nov 2020 13:25:00 +0100, Lars Schimmer
<l.schimmer@cgv.tugraz.at> wrote:
Ich hatte vor paar Jahren mal einen Link gehabt zu einer 3-4 stufigen
fail2ban logfile Überwachung mittels fail2ban:
Wer 2 mal in einer Woche von fail2ban gebannt wurde, wird 1 Woche gebannt.
Wer 2 mal eine Woche gebannt wurde, wird 1 Monat gebannt.
Wer 2 mal einen Monat gebannt wurde (in 2 Monaten timeframe) wird 6
Monate gebannt.
Die heutigen "Angreifer" ziehen sich sich alle paar Minuten über das
Anbieter-API vollautomatisch eine neue Cloud-VM und kommen mit einer
neuen IP-Adresse wieder. Außer einer Menge IP-Adressen in den
Blacklisen wird Dir das nichts bringen.
Jein. SSH login via password ist eh aus. Aber dennoch ist das Logfile
elendig nervig groß.
Beim vergleichen des LogFiles sieht man auch, das die IPs immer wieder
auftauchen, und von dort sicher keine legitime User zu erwarten sind.
Fail2Ban ist sicher ned die einzige Schutzmaßnahme, aber eine, die ein
definiertes Problem löst.
Grüße
Marc
MfG,
Lars Schimmer