Re: Fail2ban überwachung fail2ban logfile - wer hat Config beispiel?
> Heiko Schlittermann <hs@schlittermann.de> hat am 01.12.2020 09:12 geschrieben:
> `iptables -m hashlimit` tut auch auch einen guten Job, nicht sogar das
> gleich, was Du oben hast?
Danke, das gefällt mir sehr gut. Besonders (matching on subnet).
Muß ich direkt mal testen.
> Aber diese ganzen Ratelimit/Hashlimit/Persistent Lösungen gehen halt nur
> mit Diensten, die für gewöhnlich nicht oft in kurzer Zeit kontaktiert
> werden. IMAP wäre ein Kandidat, der mit obigen Ansätzen Probleme hätte.
> Oder Ansible über SSH, wenn da nicht zufällig ControlPersist verwendet
> wird.
>
> Für solche Dinge also wie zu viele falsche Anmeldungen hilft vermutlich
> nur der Ansatz von F2B.
Fail2Ban ist natürlich sehr hilfreich wenn noch andere Dienste/Ports außer SSH angeboten werden. Ich empfehle es auch jedem bzw. wird mit meinem script default installiert.
Leider muß bei Fail2Ban oft noch was an den regex Regeln nachgebessert werden. Nach jedem sysupgrade ist dann tagelanges logwatching angesagt.
In Fail2Ban v0.10.2 fehlte mir in '/etc/fail2ban/filter.d/sshd.conf' z.B. der Port:
#^<F-NOFAIL>Connection <F-MLFFORGET>closed</F-MLFFORGET></F-NOFAIL> by <HOST>%(__suff)s$
^<F-NOFAIL>Connection <F-MLFFORGET>closed</F-MLFFORGET></F-NOFAIL> by <HOST>%(__on_port_opt)s%(__suff)s$
Ciao Marco!
Reply to: