vServer fail2ban Alternative

  • Hallo,


    seit einigen Tagen habe ich mein eigenen vServer und habe festgestellt, dass keine IP Regeln definiert werden können (iptables funktioniert auf diesen Servern nicht).


    Was kann man als Alternative zu fail2ban Werkzeug benutzen?


    Grüß,
    Mikhail.

  • Guten Tag,



    bei einem vServer können keine kernelseitigen Konfigurationen vorgenommen werden, da alle vServer gemeinsam einen Kernel nutzen. Hierunter fällt auch die Konfiguration der IP-Tables.


    Mit freundlichen Grüßen


    Felix Preuß

  • Ich hab an einigen Stellen gelesen das fail2ban auch die host.deny zum sperren nutzen kann. Nur wie die config dann genau aussehen muss konnte ich nirgens finden und die Doku gibt (mir) keinen Aufschluss darüber.


    Entweder das sind Gerüchte oder ich hab einfach nicht lang genug gesucht.

  • ich habe auf meinem vServer "denyHosts" am laufen.


    bei debian reicht ein "apt-get install denyhosts".


    Denyhosts prüft die logdateien, und bei mehreren Loginfehlversuche wird die ip in hosts.deny eingetragen.



    Tipp: Nebenbei auch einfach den ssh-port ändern.



  • Was ich meinte ist fail2ban so umzustellen das es anstelle der iptables die /etc/host.deny zum sperren nimmt.

  • Zitat von sim4000;2701

    http://de.wikipedia.org/wiki/Nmap
    10 Minuten, dann hab ich den Port wieder.


    Natürlich kannst du den Port ohne Probleme heraus bekommen. Aber es geht hier ja in erster Linie darum, die etlichen automatisierten Bot-Angriffe in den Griff zu bekommen. Denn selbst wenn diese es nicht schaffen, ein gültige User/Password Kombination zu erraten, erzeugen die ganzen Login-Versuche doch auch eine gewisse Last auf dem Server, wenn diese massenhaft und simultan durchgeführt werden.
    Wenn du aber den SSH-Port einfach auf irgendeinen anderen Port änderst, hast du dieses ganzen Bot-Connections schonmal komplett vom Hals. Hier wird nämlich ähnlich wie beim Versenden von Spam verfahren: Einfach so viel wie möglich (Login-Versuche/Spam-Mails) in möglichst kurzer Zeit. Da erst noch einen SSH-Port zu suchen wäre viel zu ineffizient, da die Bots in dieser Zeit schon wieder etliche andere Systeme (mit Standard-Port) ausprobieren.


    Fazit: Das Ändern des SSH-Ports hat konkret auf meinen Servern mit einfachsten Mitteln die automatisierten SSH-Angriffe komplett abgeschaltet. Ganz ohne fail2ban oder ähnlichem.

  • [IRONIE]
    Die wohl einfachste Möglichkeit wird nicht in erwägung gezogen da diese Variante mit etwa 30 Sekunden Aufwand verbunden ist. Meine Variante besteht einfach in der überlegung das ein gesperrter Port oder nicht laufender Dienst nicht angegriffen werden kann. Dazu wird einfach im OpenVCP der Port für den ssh gesperrt. Ein ftp server muss auch in den meisten fällen nicht laufen sondern kann bei Bedarf von Hand gestartet werden (wenn Mann/Frau alleine den Server nutzt).


    Aber wie gesagt diese Variante ist mit 30 Sekunden Tip/klick-Arbeit verbunden... Ach wie schön ein Webhosting-Paket doch ist und vorallem so wenig Aufwand....
    [/IRONIE]


    In diesem Sinne

  • Hallo,


    für fail2ban kann selbst ein action script geschrieben werden. Ich habe mir bspw. eines geschrieben, dass sich im vservercontrolpanel einloggt und die IP über die IPTables Firewall im Controlpanel sperrt. Script ist kein grosser aufwand und mit curl schnell erledigt. Kann das script bei Bedarf hier posten, läuft seit längerem zuverlässig bei mir.


    Das mit den deny.hosts ist so eine Sache. Funktioniert nur bei Diensten die, die Datei auch beachten/bzw. muss erst angegeben werden bei den einzelnen Diensten. Pingbar bleibt der Server nach wie vor, bzw. DDOSbar etc. da ist eine IPTables Regel zuverlässiger.


    Gruß
    tux1337

  • Hallo,


    hier mein Script. Bitte Lizenz beachten.




    Das übliche: KEINE GEWÄHR, GARANTIE, SUPPORT etc. ANWENDUNG AUF EUER EIGENES RISIKO!!!
    Das script sollte über Dateirechte abgesichert werden, da das OpenVCP Passwort im Klartext drinn steht. (im Init Bereich solltet ihr das eintragen)


    Curl muss natürlich installiert sein/werden....


    Viel Spaß damit.


    Gruß
    tux1337


    €dit: weitere variable für servername

  • Du solltest noch eine weitere Variable im init-Bereich anlegen, denn der vServer Name ist derzeit noch hardcoded ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • stimmt du hast recht, habe ich gerade geändert... nimmst du bitte den namen aus deinem obigen beitrag raus... thx dir.

  • Hab das Script jetzt mal getestet, weil ich ein Programm gefunden habe, das mit Actionscripts arbeiten kann.


    Leider funktioniert es nicht, da kein Login möglich ist - ich bleibe also beim Login hängen.


    Kann es sein, dass am VCP etwas geändert wurde und es deswegen nicht mehr geht?


    (Variablen für Login wurden natürlich geändert; Passwort und Benutzername stimmen auch)


    MfG