Beiträge von SiGa

  • Fail2Ban Script für die VCP API

    Hallo,


    vielen Dank für das super Script! Funktioniert sehr gut.


    Was mir aufgefallen ist:
    - Ich habe bei mir im VCP keinen "Webservice" Tab und es funktionieren meine normalen Zugangsdaten. Ich weiß nicht warum das so ist, aber ich würde mir wünschen das wäre in der Doku erwähnt.
    - IPv6 funktioniert nicht (liegt evtl. an fail2ban selbst, noch nicht informiert)
    - manchmal kommt die "already banned" Fehlermeldung, die hier bereits öfters geschrieben wurde.


    Verbesserungsvorschlag:
    - Als Kommentar angeben/übergeben, "warum" (z.B. ssh-dos) und seit wann eine IP gesperrt ist.


    Und zwei Fragen habe ich noch:
    - Warum muss/wird bei "Zusatz" und "Zusatz Wert" (match/matchValue) etwas angegeben? Wird nicht "alles" gesperrt, wenn man es komplett leer lässt? Das habe ich bisher so bei manuell angelegten Regeln gemacht und es hat bisher immer wunderbar funktioniert. Habe deswegen auch im Script die beiden Felder geleert. Funktioniert perfekt.
    - Kann man fail2ban so konfigurieren das SYN_RECV Floods geblockt werden?

  • IPv6

    Manche lassen sich durch Argumentation überzeugen. Die anderen sind Politiker.


    PS: Ich steige aus dem Thema aus.

  • IPv6

    "Wir können unsere Infrastruktur auf IPv6 umstellen. In unserer Software und der Hardware ist IPv6 bereits implementiert."


    Server Software: Postfix, Exim, Apache2, Lighttpd, Bind9, PowerDNS und Linux ;)

  • IPv6

    1. Schrieb ein Netcup Mitarbeiter, dass die Hardware bereits vorbereitet ist
    ("Wir können unsere Infrastruktur auf IPv6 umstellen. In unserer Software und der Hardware ist IPv6 bereits implementiert.")
    2. Ob die jetzt diese Summen investieren, oder in 1.5 Jahren, ist eigentlich egal. Wenn eine Firma dafür kein Geld hat, wird Sie es auch in 1.5 Jahren nicht haben.


    Es geht auch nicht darum, dass ich IPv6 haben möchte. Wäre ich der einzige Internet Nutzer, würde mir IPv4 reichen ;-).
    Es geht mir auch nicht darum, dass Netcup IPv6 Adressen anbietet.


    Es geht darum, dass JEDER, der irgendwelche Geräte an das Internet angeschloßen hat, früher oder später auf IPv6 umsteigen MUSS.


    Und je früher man das angeht, desto besser.


    Ich bin nun mal der Typ, der lieber ne Woche vorher anfängt seine Sachen für den Urlaub zupacken, anstatt es 1 Stunde vor dem Abflug zu tun.


    Und bzgl. Software:


    Windows XP ab SP2, Windows Vista, Windows 7, Mac OS, Linux - nur um mal die "gängigsten" Betriebsysteme zu nennen.


    Postfix, Exim, Apache2, Lighttpd, Bind9, PowerDNS
    Firefox, Opera, Google Chrome, Internet Explorer


    Brauchst du noch mehr "gängigste Software"?


    Und um den Rest der Welt dazu zu bewegen, auf IPv6 umzusteigen und es zu unterstützen, muss man es selber erst ein mal tun.

  • IPv6

    Nenn mir einen Grund, warum man sich Zeit lassen sollte. Die Kosten entstehen so oder so. Die Frage ist nur wann.


    Klar, jeder sagt, dass man mit IPv6 noch nichts anfangen kann, deswegen passiert auch nichts, weil keiner den großen, ersten Schritt wagt. Wenn die Mehrheit IPv6 verlangen würde, hätten wir schon seit Jahren diesen "neuen" Standard.

  • IPv6

    Wie schaut es (575 Tage vor dem Zusammenbruch) bei Netcup aus?
    Wann werden endlich IPv6 Adressen angeboten? Gerne auch gegen einen Aufpreis!

  • IPs gebannt wegen Hackversuchen

    Würde ich nicht machen. Stell dir mal vor, ein Scriptkiddie macht es mit seinem Webhosting Account, und ein anderer Kunde, der auf dem selben Server ist, will dir z.B. eine E-Mail schicken. Seine IP Adresse wäre durch die Firewall geblockt, nur weil ein Scriptkiddie auf dem selben Server unfug treibt.


    Außerdem kann es auch sein, das der Server/die IP Adresse irgendwann von jemand anderem betrieben wird, der kein unfug treibt, sondern aus anderen gründen deinen server kontaktieren will.


    Wenn es ein Deutscher Provider ist, lohnt es sich meistens dies zu melden. Alles andere würde ich ignorieren.


    Was ich dir aber empfehlen würde: phpMyAdmin mit htaccess schützen, weil diese software in vergangenheit oft sicherheitslücken hatte.


    Außerdem: SSH root login deaktivieren, ssh keys für den login verwenden und logins mit dem Passwort deaktivieren. Dann können die probieren was die wollen, klappen wird es nicht.


    Perfekt wäre es, wenn man iptables bei den vServern verwenden könnte, weil man dann anwendungen wie fail2ban laufen lassen könnte.

  • Erstellung neues Webinterface

    - Bessere/Übersichtlichere Statistiken bzgl. Traffic
    -- Idealerweise evtl. noch mehr Statistiken, HDD, CPU, RAM, Swap Auslastung etc. also sowas wie ein kleines Monitoringtool.
    -- Evtl. auch Information/Warnung an Kunden bei Ausfall oder wenn die Festplatte fast voll ist o.ä.
    - API zum auslesen von Statistiken


    Was ich mir unter "Übersichtlichere Statistiken" vorstelle:
    Zuerst auswahl des Servers, dann auswahl der IP-Adresse/n und des gewünschten Zeitraumes (z.B. Monat Dez.) und dann sieht man in einer Grafik, so wie jetzt, den erzeugten Traffic.
    Die Tabelle mit den einzelnen Werten würde ich weglassen.
    Man kann es in der Grafik unterbringen. (vll. mit Flash, das man immer einen Wert sieht, wenn man mit der Maus über die Kurve fährt)