fail2ban: Wie viele Sperren sind normal?

[Sebbi]

Deswegen VPN, da hast du dann immer die gleiche IP

Welcher VPN Dienst garantiert dir immer eine Feste Ip als Exit?
Das hab ich bei noch keinen gesehen und selbst dann ... wenn der VPN Dienst zu macht, warum auch immer, kommst du auf einmal auch nicht mehr auf den Server, da der ja lle Verbingungen verweigert.

Sowas kannst du machen, wenn du physichen Zugriff auf den Server hast, nicht aber wenn der irgendwo in einen Rechenzentrum steht oder VM, wo du kein alternatives HW Interface hast, auf welches du zugreifen könntest im Notfall. Und sowas würde die monatlichen Kosten massiv in die Höhe treiben.

Ich sehe auch wo dein Fehler liegt - du denkst das der Server beim TE zu Hause steht, was aber mit den Aussagen "Webserver" vom TE ganz anders klingt. Heißt einfach per VPN @ home einwählen und auf den Server lokal zugreifen ist nicht.

 

[kieleich]

?

ist dein eigener ssh dienst

ist dein eigener vpn dienst

 

[CyborgBeta]

Ist mein eigener dedicated Server bei Hetzner. Für die Sicherheit bin ich verantwortlich.

Ich könnte zwar als Fallback ins Rescue System booten ... aber ob ich da weiter käme, ist fraglich.

@Sebbi hat schon recht, ein VPN mit immer der gleichen IP ist mit Kosten verbunden, und ich könnte mich selber ausschließen.

Zurzeit sind immer so 10 IPs gesperrt, und täglich gibt es ca. 1500 Versuche.

Ich nehme an, da wird automatisiert versucht. Ich könnte zwar noch einmal den Port ändern, aber dann wäre es nur eine Frage der Zeit, bis jemand noch einmal manuell Ports scannt.

Als Alternative gibt es noch Crowdsec, aber mWn. verwenden diese auch fail2ban.

 

[Pummeluff]

Nach paar Tagen hat man tausende Bans in der Liste die auch unnötig die Firewall belasten.

Nö. Die Bans sind bei mir im einstelligen Bereich. S.o.

Wär es nicht sinnvoller allen den Zugang zu versperren und via Whitelist nur die rein zu lassen, welche bekannt sind?

Ich greif auf die Server von verschiedenen Geräten aus zu, die auch dynamische Adressen haben. Eine Whitelist ist da ungünstig. Wireguard hab ich sowieso am Laufen. Aber der ssh-Zugang ist der Reparaturzugang, wenn die Wireguard-Verbindung mal spinnt.

Ich könnte zwar noch einmal den Port ändern,

Bringt auch nichts. Ich hab einen Server mit ssh auf 22 und zwei Server mit Port 222. Die Anzahl der Angriffe ist in etwa gleich.

Ich seh die Problematik aber auch nicht sonderlich kritisch. Bisher ist noch niemand unberechtigt auf die Server gekommen.

 

[K-551]

Ich sehe auch wo dein Fehler liegt - du denkst das der Server beim TE zu Hause steht, was aber mit den Aussagen "Webserver" vom TE ganz anders klingt. Heißt einfach per VPN @ home einwählen und auf den Server lokal zugreifen ist nicht.

Jup, exakt das war mein Gedanke.
Server steht zu Hause/Firma. Hab nicht weiter dran gedacht, dass das ja ext. sein kann...
Asche auf mein Haupt.

Bin da leider "verwöhnt" oder eher gestraft, je nach Standpunkt.
Bisher alles mit physischen Zugang. Oder halt Online-Services, wo man sich um sowas keine Gedanken machen muss...