Ich glaube Dein Ansatz, delta544, mit permanenten Block von IP-Adressen geht in der Praxis fehl, mal ganz abgesehen vom manuellen Aufwand. Ich zeige Dir mal ein Beispiel warum. Im folgenden siehst du einen block-Report, wie er von lfd automatisch generiert wurde. lfd tut in etwa ähnliches wie Fail2Ban.
lfd on ksXXXXXX.kimsufi.com: 95.91.xxx.xxx (DE/Germany/95-91-xxx-xxx-dynip.superkabel.de) blocked for port scanning
Time: Wed Feb 13 15:17:02 2013 +0100
IP: 95.91.xxx.xxx (DE/Germany/95-91-xxx-xxx-dynip.superkabel.de)
Hits: 11
Blocked: Temporary Block
Sample of block hits:
Feb 13 15:15:49 ksXXXXXX kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:65:1a:24:00:0a:b7:f3:22:01:08:00 SRC=95.91.xxx.xxx DST=91.121.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=50 ID=40865 PROTO=TCP SPT=60385 DPT=41144 WINDOW=65535 RES=0x00 SYN URGP=0
Die Problematik hier ist, dass es offensichtlich ein dynamischer Internet-Zugang ist (hier zwar KDG - könnte aber auch Telekom whatever sein). Bei den Telcos werden die IP-Adressen dynamisch vergeben. Also kann jederzeit ein ganz anderer PC hinter der IP sein. Oder Du sperrst den Proxy eines Mobilfunk-Providers für immer - auch nicht gerade smart.
Wenn du jetzt anfängst IP-Adressen zunehmend permanent auszuschließen, wächst a) der Datenberg an und damit der Verwaltungsaufwand und irgendwann wird auch bei zu vielen Rules die Netzwerkperformance beeinträchtigt und b) du blockiert u.U. "unschuldige" Besucher - nicht so clever und c) kannst Du davon ausgehen, dass Du mehrmals am Tag von diversen Bots "besucht" wirst.
Wie willst Du das vom Aufwand her händeln? Es hat also seinen Grund, warum man primär nur temporäre Blocks einsetzt. Harte Regeln sind eher was für den worst case also massiver direkter Angriff, die man zurücknimmt, wenn das Drama wieder abflaut.
Es macht keinen Sinn, das log "sauber" halten zu wollen, weil dann verlierst Du ja gerade eben wichtige Informationen, ob es jemand dauerhaft auf Deinen Server abgesehen hat. F2B, lfd und Konsorten sind ein zweischneidiges Schwert und keinesfalls ein Allheilmittel. Ein Brute-force-Versuch auf SSH oder FTP usw., der zig Verbindungen gleichzeitig öffnet, kann für kleine Maschinen ein Problem sein, obwohl wenn sicher konfiguriert eigentlich kein Risiko besteht, kommt es dann oft zu einem deutlichen Performanceeinbruch, da die Dienste die Anfragen dennoch abwickeln müssen.
F2B, lfd und Co. unterbrechen sowas bezeiten. Soweit so gut. Allerdings sollte man deren Verhalten gut beobachten und vorsichtig mit den Einstellungen sein. Im worst case haben diese Tools "großartiges" Backfire-Potential, d.h. die Maschine sperrt sich selber aus.
