Die Abschottung: Wie geht es nun weiter?

[Deleted member 11691]

Ja schon, da hast du vollkommen recht aber man braucht wiederrum kein Fail2ban, wenn man nicht Windows-Standard-Passwörter wie "abc123", "123456", etc. benutzt. Außerdem reicht der Dienst "denyhosts" vollkommen aus.

 

[Tolive]

Kein fail2ban aber denyhost? Da ist der Unterschied nun wirklich nicht groß aber fail2ban wesentlich effizienter.

Außerdem müsst ihr beachten, dass hier auch viele mitlesen, die nicht täglich auf ihren Server einloggt sind. Dann gilt: Bekommt ein Angreifer genug Zeit wird jedes Passwort was nicht besonders lang ist irgendwann geknackt.

@Semper Addisco Kann dir noch sshguard empfehlen. Ist in c geschrieben und wesentlich performanter. Auch der zusätzliche Interpreter fällt somit weg. Außerdem unterstützt sshguard bereits ipv6 was fail2ban erst durch umschreiben oder einem Patch beigebracht werden muss.

 

[Joe User]

<rant>

Windows-Standard-Passwörter wie "abc123", "123456", etc.

Selten eine so unqualifizierte und dämliche Aussage gelesen.

Jegliche Rechtfertigungsversuche kannst Du gleich nach /dev/null umleiten, denn aus der Nummer kommst Du nicht mehr raus.
</rant>

 

[TerraX]

@Semper Addisco Kann dir noch sshguard empfehlen. Ist in c geschrieben und wesentlich performanter. Auch der zusätzliche Interpreter fällt somit weg. Außerdem unterstützt sshguard bereits ipv6 was fail2ban erst durch umschreiben oder einem Patch beigebracht werden muss.

Danke für den Tip! Das Tool werde ich mir mal anschauen. Dann kann ich evtl. auch csf/lfd bei uns entsorgen und die Sache noch schlanker halten.

 

[Semper Addisco]

Ich persönlich sehe das nicht so eng. War ist daran so schlimm, Python als Interpreter auf dem System zu haben? Schon konkret negative Erfahrungen gemacht?

Ich sehe nicht direkt etwas schlimmes in Python. Es geht nur darum nur das notwendigste an Diensten und Scripinterpretern installiert zu haben. Eben das, was man auch wirklich verwendet.

@Semper Addisco Kann dir noch sshguard empfehlen. Ist in c geschrieben und wesentlich performanter. Auch der zusätzliche Interpreter fällt somit weg. Außerdem unterstützt sshguard bereits ipv6 was fail2ban erst durch umschreiben oder einem Patch beigebracht werden muss.

Danke für den Tipp. sshguard werde ich mir auch mal ansehen.

fail2ban teste ich jetzt doch einmal, allerdings nicht um Bruteforce Attacken auf SSH abzuwehren (mit Port !=22 und PK only sollte da wenig passieren), sondern um das access.log des Webservers zu kontrollieren:
http://cup.wpcoder.de/fail2ban-ip-firewall/

 

[Deleted member 11740]

Srsly? Auf einem Frisch installiertem minimalen Debian Wheezy vServer in einem OpenVZ-Container (Template kann ich dir gerne schicken) ist bisher Python immer nachinstalliert worden. Und das weiß ich, weil ich nicht Fail2ban verwende, sondern Node.JS sehr gerne selbst kompiliere.

Und bitte: Braucht man heutzutage auf einem sehr gut eingerichteten Server noch Fail2ban?

Die russische Version? Von Lenny hatte ich auch mal so eine minimalisierte Debian-Version, die anscheinend von einem Russen vertrieben worden ist. Ich glaube aber, dass selbst dieses Image Python hatte. Aber das sind nur Kleinigkeiten.

Zu deiner Frage: Mit einer Firewall, die Angriffe von türkischen gekaperten Servern auf den SSH-Dienst unterbindet, sicherlich nein.

Da ich einfach zu faul bin: Hab ich es einfach immer installiert. Bin damit bisher ganz gut gefahren.