Liebe Mitdenker, liebe Wissende, liebe Neugierige,

... wobei die Zeit zum Erraten vermutlich falsch berechnet wurde. Statistisch gesehen, darf nur die Hälfte der Zeit angesezt werden, also nur 225 Jahre ;-)

Und jetzt rechne nach, was passiert, wenn der Angreifer 254 Hosts hat und nach 5 Fehlversuchen mit einer Zwangspause bedacht wird, die sich nach 3 Wiederholungen (recidiver Ban, bei dem failtoban die eigene Logdatei untersucht) auf eine Woche ausdehnt...

Gute Idee, packe ich mir gleich mal auf den ToDo-Stapel. Wenn ich begriffen habe, wie der Mechanismus genau funktioniert (ich muss schon erklären können, was die Zeilen bewirken, die ich in die Konfiguration einbaue) dann werde ich das mal vorschlagen. Damit sollten meine beiden Chefchen dann zufrieden sein können.

Die Geschichte mit den RSA-Keys lasse ich vorerst lieber. Die müssen ja irgendwo gespeichert werden und die Herren lassen jetzt schon überall ihre USB-Sticks und ihre Handies liegen. Sooo schnelle Turnschuhe habe ich nicht mehr, dann immer die PrivateKeys hinterherzutragen, nachdem ich sie dann natürlich jedes Mal schnellstens ändern muss...

/etc/fail2ban/jail.conf

[ssh_root]
enabled  = true
#port    = ssh
filter   = sshd_root
logpath  = /var/log/auth.log
maxretry = 2
bantime  = 3600


[recidive]
enabled  = true
port     = all
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 3

/etc/fail2ban/filter.d/sshd_root.conf

[INCLUDES]
before = common.conf

[Definition]
_daemon = sshd

failregex = ^%(__prefix_line)sFailed password for root from <HOST> port \d+ ssh2$
            ^%(__prefix_line)sFailed password for admin from <HOST> port \d+ ssh2$
            ^%(__prefix_line)sFailed password for invalid user .* from <HOST> port \d+ ssh2$
ignoreregex = 

/etc/fail2ban/filter.d/recidive.conf

[INCLUDES]
before = common.conf
[Definition]
_daemon = fail2ban\.actions
_jailname = recidive
failregex = ^(%(__prefix_line)s|,\d{3} fail2ban.actions:\s+)WARNING\s+\[(?!%(_jailname)s\])(?:.*)\]\s+Ban\s+<HOST>\s*$

Jörg Reinholz

Spirituelle Grüße
Euer Robert
robert.r@online.de