Apache, mod_evasive, iptables: Helfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen :: Brauche zweite Meinung
bearbeitet von ursus contionabundoAlso: [Diese Skripte sollen mod_evasive dabei helfen, IP-Adressen von (potentiellen) Angreifern zu blockieren](https://code.fastix.org/Projekte/Apache,mod_evasive,iptables:Helfer-Skripte%20zum%20(zeitweisen)%20Blockieren%20von%20IP-Adressen/). Das tun sie auch …
**Problem: Diese vier Skripte müssen mit Root-Rechten laufen, werden aber vom Webserver mit Argumenten gestartet, die an Programme übergeben werden. Was immer heikel ist. Deshalb brauche ich eine zweite Meinung.**
- [fwblock](https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte%20zum%20%28zeitweisen%29%20Blockieren%20von%20IP-Adressen/fwblock)
- [fwblock4time](https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte%20zum%20%28zeitweisen%29%20Blockieren%20von%20IP-Adressen/fwblock4time)
- [fwlist](https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte%20zum%20%28zeitweisen%29%20Blockieren%20von%20IP-Adressen/fwblock4time)
- [fwunblock](https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte%20zum%20%28zeitweisen%29%20Blockieren%20von%20IP-Adressen/fwunblock)
Das geschieht durch einen Eintrag in /etc/sudoers:
~~~
www-data ALL=NOPASSWD: /usr/sbin/fwblock4time
~~~
fwblock4time nutzt fwblock und fwunblock und wird, wie schon gesagt, von mod_evasive benutzt:
~~~conf
## Example for file: /etc/apache2/mods-available/evasive.conf
<IfModule mod_evasive20.c>
#…
DOSSystemCommand "sudo /usr/sbin/fwblock4time %s 10"
DOSLogDir "/tmp"
DOSWhitelist 127.0.0.* 192.168.0.*
</IfModule>
~~~
Auch beim gelegtlichen manuellen Aufruf wird mit sudo hantiert. Also sollten die Dinger schon sicher sein.