Danke Euch schonmal für die vielen Infos
!!
Ja, ein ganzes Land zu sperren, bzw, Länder gefiel mir auch nicht. Ich habe es auch nicht gemacht. Ich arbeite mitFail2Ban, der über IPTables sperrt. Darüberhinaus nutze ich "gld" - also Greylisting-Demon. War anfangs eine Frage, "was zur Spamprävention nutzen"... Spamassassin ist mir zu "gewaltig". Nicht das ich um die Systemrecourcen bange, aber ich habe über die Möglichkeiten wirklich lange, und in verschiedenen HowTo's, Meinungen anderer User, Foren und wikis gelesen, bin aber dann zum Schluß gekommen, lieber die paar Minuten Zeitverzögerung für die gld-begründete Verzögerung bei der Zustellung in kauf zu nehmen, und das System nicht so zuzubomben.
Angegriffen wurde eigentlich bisher hauptsächlich Postfix und es werden sehr häufig Dovecot-Logins/Disconnects versucht, um den Server zu belasten. Das Pass wird schwer, durch Bruten herauszubekommen, da ich wirklich sehr gute Pass'verwende (Sonderzeichen, Groß-/Kleinschrift, Keine Zusammenhänge zwischen Buchstaben/Zahlen usw.) - das ganze über 50 Zeichen. Den F2b habe ich aber auf 20 maxretry einstellen müssen, da ich sonst, wenn ich per Handy Mails abrufe - selbst gesperrt werde. Habe 2 Domains über den Server laufen und auf jeder 9 Postfächer, was 18 Zugriffs-/Einlog-Prozesse fast gleichzeitig mit sich bringt.
Die Findtime hab ich auf 4 Min gestellt, da ich nicht immer erst 10 min (600sec default) warten möchte, bis ich nochmal abrufen darf.
Zuhause habe ich eine feste IP, daher ist von hier am Rechner mehrmalig kurz-hintereinanderfolgendes Abrufen möglich. Meine IP hat f2b als Ausnahmeregel eingetragen.
Weiters wird die Webseite (hoffentlich) bald fertig und ich kann den Apachen auch Dauerlaufenlassen.
Adminpanels (Postfixadmin/phpmyadmin - andere nutze ich nicht, mache fast alles manuell) liegen hinter .htaccess, damit nicht dort dauerhaft gebruted wird. Auch sie lassen keine andere IP als meine zu, um zu den Admin -Panels.
Was ich aber gerne Fragen würde:
Ihr habt von DDoS gesprochen: DDoS sind unzählige Serveranfragen, um einen Server so zu belasten, das er auf "richtige" Anfragen nicht mehr reagieren kann. Richtig? Eine Attacke habe ich mal mitbekommen: Da wurde Hetzner von irgendwelchen angegriffen und alles reagierte super-träge, In ssh eingegebene Zeichen dauerten bis zu 20sec bis sie angezeigt wurden. Gleichzeitig gab hetzner Meldungen raus, das die betroffenen Netze für die Zeit abgeschaltet werden, um die Last auf deren Routern zu minimieren, bevor ALLES ausfällt...
Praktisch - man ist als Serveradmin gegen DDoS aus dieser Sicht machtlos.
Aber f2b, sowie Spamlists von den rbl- usw. Servern in der Postfix-main.cf sind doch ein guter Schutz? Wie oft, wenn ich fragen darf, kommen solche extremen Attacken wie halt DDoS vor? Ihr habt als jahrelange Admins da sicher genauere Gefühlswerte als ich sie als relativ-Neuling haben kann.
Nun komme ich noch zu anderen direkteren Fragen:
Otzelott said:
Schau dir doch mal
www.blocklist.de an, das arbeitet mit F2B zusammen.
Hab mir "zen.spamhaus.org" vor einigen Tagen eingesetzt. Das hat schonmal einige einige Unannehmlichkeiten im Maillog täglich erbracht. Gut, es schützt nicht vor Dial-Up-Verbindungen, die schneller gewechselt sind, als die IP geblacklistet wäre... :/
Die
www.blocklist.de Seite hatte mir Martin von dort schonmal vorgeschlagen. Werd ich mir auf jeden Fall nochmal ansehen.
florian030 said:
Du kannst fail2ban in den einen und die Blocklisten in einen anderen Jail schreiben.
Geht - ja, florian030. Nur, wenn ich dann f2b reloade/restarte, fürht f2b einen
Code:
iptables -F && iptables -X
aus. Er flushed alle, bis auf die 3 Standard-Chains (und damit die darunterliegenden Jails) raus. Ich hatte das anderweitig schonmal beobachtet: Hatte anfänglich falsch überlegt, und war der meinung, ich müsse in iptables ntpd freigeben. Als f2b dann neustartete, war die Zeile, die ich für ntpd in iptables übernommen hatte, auch weg.
Kann es gerne nochmal probieren, aber ich bin mir fast sicher, das nach iptables -F / -X die Chains leergeflushed sein werden.
Waren nurnoch: INPUT OUTPUT FORWARD drin, danach.
Möchte das Teil halt nur so sicher wie nur geht machen.
Und das nicht jedesmal das mail.log so vollgekotzt wird
Sieht manchmal echt stürmisch aus. Aber seit "zen.spamhaus.org" ists schon drastisch weniger geworden, wie ich schon sagte...
