Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Nabend, ich hab festgestellt, dass fail2ban zurzeit etwa alle 5 Minuten eine IP sperrt, meist aus fernöstlichen Ländern... (obwohl das ja nix aussagt, da theoretisch von überall möglich)
Ist das noch normal?
Und kann man fail2ban so einstellen, dass es nicht nur auf fehlgeschlagene Logins horcht, sondern auf alles?
ist eigentlich wenig - als ich noch selbst eine Email Server hatte, hatte ich jede Minute mindestens 10 Login Versuche von diversen IPs mit verschiedensten Login Benutzernamen, angefangen mit Administrator über root zu Standard Benutzernamen von Plesk, Apache etc.
Bot und Zombienetze sind im nahem und im fernen Osten stark verbreitet.
Das sehr wenig. Ich hatte vor 5 Jahren mal kurzeitig fail2ban auf nem webserver. Hatte es dann abgeschaltet weil im grunde über hunderte Bans rein kamen pro Minute. Du glaubst gar nicht wieviele Bots es millterweile gibt, tausende pro server die jeden server abgrasen und "abscannen".
@CyborgBeta Filterst du nicht schon pauschal vor? Es gibt genug Blocklisten die schon einiges abfangen für den ... um was geht es hier? Mail? Web?
Bei SSH hat man früher einfach nur bekannte Provider wie den eigenen + Arbeitgeber freigeschaltet. Inzwischen liegt SSH genau so wie ein Admin Zugang hinter einem VPN.
Ich hatte mal Probleme mit SSH auf einer VM auf meiner Synology, auch mind. 5x am Tag. Meist aus Russland. Ist aber schon mind 10J her. Hab dann einfach den Port von 22 geändert, Ruhe.
Geht natürlich nicht für öffentliches, wie Mail, Web, etc...
Heute hab ich sowas gar nicht mehr online, sondern arbeite ausschließlich mit VPN
Hab meine Syno auch so eingestellt, das alles nach drei Fehlversuchen gebannt wird und ich ggf. händisch einschreiten muss. Lediglich eine einzige IP innerhalb des Heimnetztes ist von der Regel ausgeschlossen, für den Notfall.
Normalerweise wird der Zugriff per SSH ausschließlich über die VPN-IP erlaubt. Auf dem VPN-Server selbst ist zusätzlich Port Knocking aktiviert.
Es empfiehlt sich außerdem, den Standard-SSH-Port 22 auf einen weniger bekannten Port zu ändern – in meinem Fall hat dies das Grundrauschen vollständig eliminiert.
Es geht um sshd auf einem Webserver. Den SSH-Port hatte ich schon geändert, aber weil am Anfang noch nichts los war, hatte ich Fail2Ban erst später installiert, als die Logs überbordeten.
Meine "jail.local" sieht so aus:
Code:
[sshd]
enabled = true
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
mode = normal
#port =
logpath = /var/log/auth.log
backend = systemd
Ich weiß nicht, was passiert, wenn ich den mode von normal auf aggressive ändere.
Zurzeit blockt er nur, wenn dreimal ein falsches Passwort eingegeben wurde, und die Ban-Time wird inkrementiert. Im "auth.log" steht aber noch mehr:
Invalid user
authentication failure
Received disconnect
Failed password for
Mein SSH ist hinter Wireguard da braucht es kein fail2 ban mehr weil Wireguard ungültige Pakete ohne hin ignoriert.
Früher hatte ich auch SSH Port geändert. Oder es mit einer random IPV6 probiert. Port Knocking ist sicher auch möglich.
Aber mit Wireguard brauch ich mir um sowas schlicht kein Kopp mehr machen. ist mir das bisschen overhead wert. und wireguard überlebt auch eine kurzzeitig getrennte verbindung, vorher flog man aus allen offenen ssh sessions raus
Status for the jail: sshd
|- Filter
| |- Currently failed: 2
| |- Total failed: 20
| `- Journal matches: ...
`- Actions
|- Currently banned: 11
|- Total banned: 13
`- Banned IP list: ...
Kannst ja mal Deine fail2ban-Config dann hier posten.
Bei mir sieht's bei meinen öffentlich erreichbaren Servern so aus:
Code:
Status for the jail: sshd
|- Filter
| |- Currently failed: 8
| |- Total failed: 101502
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 1
|- Total banned: 26621
`- Banned IP list: 119.255.245.44
Code:
fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 4
| |- Total failed: 10927
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 2
|- Total banned: 1098
`- Banned IP list: 51.75.194.10 147.182.194.88
Code:
fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
Die vielen Fails und wenigen Bans kommen daher, dass die Loginversuche immer nur von jeweils 2 IPs pro Versuch kommen.
Danke! Also wie gesagt, mit "aggressive" schnappt er sich alles, was er kriegen kann, aus den Logs.
An meiner jail.local hab ich nicht viel geändert, außer, dass er noch "whois" machen soll und mir eine E-Mail bei Ban schicken soll. Das setzt aber eine konfigurierte E-Mail voraus.
Zurzeit viele Bans von China Telecom ... aber eine IP kam auch direkt von One Microsoft Way in Redmond.
Werds mal weiter beobachten, vielleicht haben die Bots i-wann keine Lust mehr.
wenn das passiert, das die China Bot Mafia keine Lust mehr hat, dann erscheint der Weihnachtsmann und Jesus gleichzeitig auf der Erde und die Hölle friert zu XD
Ich nutze zwar fail2ban, halte es aber nicht für die ultimative Lösung. Wie man ja oben sieht, wechseln die IPs sowieso dynamisch. Hier mal ein Auszug:
Code:
ai 01 14:20:20 ampix sshd[776321]: Received disconnect from 218.92.0.164 port 21427:11: [preauth]
Mai 01 14:20:20 ampix sshd[776321]: Disconnected from authenticating user root 218.92.0.164 port 21427 [preauth]
Mai 01 14:20:25 ampix sshd[776325]: Received disconnect from 186.233.208.13 port 51484:11: Bye Bye [preauth]
Mai 01 14:20:25 ampix sshd[776325]: Disconnected from authenticating user root 186.233.208.13 port 51484 [preauth]
Mai 01 14:21:08 ampix sshd[776327]: Invalid user test from 141.105.80.66 port 53589
Mai 01 14:21:08 ampix sshd[776327]: Received disconnect from 141.105.80.66 port 53589:11: Bye Bye [preauth]
Mai 01 14:21:08 ampix sshd[776327]: Disconnected from invalid user test 141.105.80.66 port 53589 [preauth]
Mai 01 14:21:33 ampix sshd[776330]: Received disconnect from 218.92.0.225 port 39194:11: [preauth]
Mai 01 14:21:33 ampix sshd[776330]: Disconnected from authenticating user root 218.92.0.225 port 39194 [preauth]
Mai 01 14:21:47 ampix sshd[776332]: Received disconnect from 218.92.0.111 port 62516:11: [preauth]
Mai 01 14:21:47 ampix sshd[776332]: Disconnected from authenticating user root 218.92.0.111 port 62516 [preauth]
Mai 01 14:22:00 ampix sshd[776334]: Received disconnect from 218.92.0.164 port 39378:11: [preauth]
Mai 01 14:22:00 ampix sshd[776334]: Disconnected from authenticating user root 218.92.0.164 port 39378 [preauth]
Mai 01 14:22:39 ampix sshd[776336]: Received disconnect from 114.130.56.192 port 55008:11: Bye Bye [preauth]
Mai 01 14:22:39 ampix sshd[776336]: Disconnected from authenticating user root 114.130.56.192 port 55008 [preauth]
Mai 01 14:23:39 ampix sshd[776338]: Received disconnect from 218.92.0.164 port 19476:11: [preauth]
Mai 01 14:23:39 ampix sshd[776338]: Disconnected from authenticating user root 218.92.0.164 port 19476 [preauth]
Mai 01 14:25:01 ampix CRON[776340]: pam_unix(cron:session): session opened for user root(uid=0) by root(uid=0)
Mai 01 14:25:01 ampix CRON[776341]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Mai 01 14:25:01 ampix CRON[776340]: pam_unix(cron:session): session closed for user root
Mai 01 14:25:18 ampix sshd[776344]: Received disconnect from 218.92.0.164 port 27779:11: [preauth]
Mai 01 14:25:18 ampix sshd[776344]: Disconnected from authenticating user root 218.92.0.164 port 27779 [preauth]
Allerdings hab ich damit wenig Bauchschmerzen. Der SSH-Zugang ist nur per Key eingerichtet. Ich finde eher den Traffic unnötig, der durch die Attacken verursacht wird.
alles super solange openssh keine sicherheit lücke hat. dann katastrophe
ein paar schrammen haben wir schon gehabt in letzter zeit, das kratz ziemlich am Vertrauen
wenn es eine brauchbare Alternative gäbe würde ich OpenSSH komplett auf den Mond schiessen, das ist einfach ein unüberschaubares Monstrum. wireguard passt auf ein bierdeckel im vergleich. und "nur" eine remote shell ohne den ganzen rattenschwanz sollte an sich ja nicht so schwer sein
Na ja, eigentlich ist diese Tür ja sicher (und es gibt auch nix Besseres ...), aber damit der Traffic nicht i-wann exponentiell zunimmt, stelle ich halt doch einen Türsteher davor. Fühle ich mich wohler.
Ich sehe keinen Sinn fail2ban zu nutzen besonders nicht mit den default Einstellungen. Es erzeugt nur unnötig CPU Last. Nach paar Tagen hat man tausende Bans in der Liste die auch unnötig die Firewall belasten. Daher hab ich es wieder runtergeworfen.
Ja, das hört sich irgendwie nach falscher Nutzung von White- und Blacklist an.
Es wird erstmal allen erlaubt und wer scheiße baut kommt auf die Blacklist.
Wär es nicht sinnvoller allen den Zugang zu versperren und via Whitelist nur die rein zu lassen, welche bekannt sind?
@dernettehans Man kann glaube ich auch nach Ländern sperren oder erlauben. Aber ich denke, das würde auch die CPU belasten. Schwer zu sagen, was nun besser wäre.
Dadurch, dass die Sperrzeit auch inkrementiert wird (10m, 20m, 40m, usw.), muss ja auch noch eine kleine Datenbank laufen ... und das "whois" für jede IP, die gesperrt wurde, kostet ja auch ein wenig.
Was mich wundert ist, ich hatte eine E-Mail an abuse at microsoft gesendet, weil es mehrere Versuche von Azure-Accounts gab, und danach gab es für eine Stunde lang keinen einzigen Versuch mehr.
---
K-551 schrieb:
Wär es nicht sinnvoller allen den Zugang zu versperren und via Whitelist nur die rein zu lassen, welche bekannt sind?
