[Postfixbuch-users] OT: Dumme Frage zu Mailauswertung

Rico Koerner rico at netbreaker.de
Mo Jul 25 20:34:59 CEST 2011 

Am 25.07.2011 18:09, schrieb Helmut Hullen:
> Hallo, Michael,
> 
> Du meintest am 25.07.11:
> 
>>> Bei 10 Versuchen binnen 6 Minuten kann ich mich bereits ganz elegant
>>> selbst aussperren - wie willst Du "fail2ban" oder anderen Programmen
>>> verdeutlichen, dass und wie es zwischen bösen Buben und Tippfehler-
>>> Generatoren unterscheidet?

1. Du kannst fail2ban sagen, daß es bei bestimmten Namen nicht sperren
soll (ignoreregex)
2. Du kannst iptables oder fail2ban sagen, daß deine feste IP nicht
geblockt wird, sofern du eine hast.
3. Du hast u.U. mehrere Server und kannst dich im Notfall über Umwege
trotzdem einloggen. Auch hier hilft 2. weiter.

>> verwende doch einfach ssh Key Authentifizierung (findet man gute
>> Anleitungen in Google). Damit verursachst zumindest du keine false
>> positiv Ergebnisse mehr.

mach ich auch und sperre trotzdem mit fail2ban, weils nervt.

> Danke - aber das löst auf jeden Fall nicht das Teilproblem, dass ein  
> Programm (wie "fail2ban" oder meine "iptables"-Regel) bei langsamen  
> Automaten nicht mehr so recht unterscheiden kann. Und das ist kein  
> spezielles SSH-Problem.

Der Unterschied ist ja schon mal, daß deine iptables-Regel auf neue
Verbindungen reagiert, fail2ban reagiert auf Login-Fehler.

Wenn du es schaffst, 10x in 6 min ein falsches Passwort einzugeben, dann
ist die verordnete Bedenkpause auch bei dir gerechtfertigt. ;-)
Die Bank hat da weniger Mitleid mit dir.

Ich hab in fail2ban inzwischen sogar eine Eskalationsstufe eingebaut.
Erstmal gibt es eine kurze Sperre und in einem 2 Filter wird
fail2ban.log selbst überwacht. Wer 3 Mal in 4h in die Sperre reinläuft
fliegt 1 Tag raus. Wenn dir das zu hart erscheint, kannst du statt einer
Sperre für die Eskalation ja eine Mail rausschicken, um den Kandidaten
manuell in eine Sperrliste aufzunehmen.

Die paar verbleibenden extra-langsamen Automaten kann man dann leicht im
Logfile erkennen.

> Und im speziellen Fall: Dein Vorschlag ist durchaus beliebt, aber er  
> funktioniert nur, wenn ich den Schlüssel stets griffbereit habe, früher  
> auf einer Diskette, jetzt auf einem USB-Stick.

Was spricht dagegen?

Gruß Rico

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2308 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110725/811c9dde/attachment.p7s>

Mehr Informationen über die Mailingliste Postfixbuch-users