Hallo

Grundsätzlich sollte man sich aber auch nicht um Kopf und Kragen sorgen. Es wird immer Angriffsversuche geben. Das wurde dem TO hier auch schon ans Herz gelegt. Und es wird immer abzuwägen sein, ob es sinnvoll ist, alle möglichen Adressen auszusperren oder ein gewisses Maß hinzunehmen und mit dem angemessenen Maß an Gleichmut zu reagieren.

Stimmt schon. Aber wenn jemand 1128 Mal in etwas mehr als 48 Stunden versucht (unter einer IP), in den Host zu kommen unter den verschiedensten Standard-Usernamen für irgendwelche Dienste und das so geschickt timed, dass er eben nicht in fail2ban auffällig wird, dann frag ich mich doch, was dahinter stecken könnte.

Wo ist das Problem? Soweit ich verstanden habe, protokollierst du die Zugriffe und sperrst auffällige IPs. That's it. Mehr kannst du ohne Heckmeck nicht machen und mehr musst du nicht machen, um den Übeltäter deines obigen Szenarios zu erwischen.

Tschö, Auge