Sziasztok,
a fail2bannal a következő a problémám. A jelenlegi beállításom, hogy ha valaki próbálkozik, akkor véglegesen kitiltom. Ez elvileg jó is, de egy hosszú üzemeltetés esetén nem biztos, hogy célra vezető, mert a tiltott IP-lista végtelen lehet...
Amit szeretnék, hogy ne végleges legyen, hanem növelje (büntesse) a próbálkozás esetén pl: 1 héttel. Így talán lesz az az idő, amikor már feloldódhat a tiltás.
Pl:
1 próbálkozás - 1 hét
2 próbálkozás - 2 hét
...
Kérdésem, hogy ezt hogyan és melyik .conf lehet beállítani?
Köszi!
Kalmi
- 5009 megtekintés
Hozzászólások
http://www.fail2ban.org/wiki/index.php/MANUAL_0_8
option: bantime
default: 600 sec
description: Duration (in seconds) for IP to be banned for. Negative number for permanent ban.
- A hozzászóláshoz be kell jelentkezni
Szerintem nem tud a fail2ban ilyen "inkrementális" tiltást. Egyébként egy hét eltelte után minek újra bannolni 2 hétre? Így is heti néhány próbálkozást tud csak csinálni, mielőtt tiltásra kerülne.
- A hozzászóláshoz be kell jelentkezni
Nem azt akarja. Hanem 1 het utan feloldani a korlatozast, aztan (miutan a korlatozas feloldodott) ha ujra probalkozik akkor hosszabb bannolast kiszabni ra. Egyebkent ilyen feature szerintem sincs, es igazabol nem is latom ertelmet.
- A hozzászóláshoz be kell jelentkezni
Az "inkrementálás" szó nem ugrott be. Erre már találtam is valamit.
http://blog.shanock.com/fail2ban-increased-ban-times-for-repeat-offende…
Igazából nem tudom, hogy milyen büntetésnek van értelme. Igaz elég lehet 2 hét és ha megint próbálkozik, akkor megint 2 hét. Ez is jó végül is....
Egy biztos a teljes kitiltás nem biztos, hogy jó 5let....
- A hozzászóláshoz be kell jelentkezni
"Kérdésem, hogy ezt hogyan és melyik .conf lehet beállítani?"
Ezt pici redis/sqlite db-ben tárolva az előzményeket és a büntiidőket, cronban a változás ellenőrzésének a gyakoriságát, iptables-ben a zárkákat - egy szkriptben lehetne beállítani.
Igénytől függően az iptables lehet az /etc/hosts.deny is.
- A hozzászóláshoz be kell jelentkezni
Van ennek értelme, hiszen a támadást akár próbálkozásonként más IP segítségével is ismételheti?
- A hozzászóláshoz be kell jelentkezni
Ez csak erős korlátok között igaz. Még a kínaiak sem dolgoznak végtelen címkészlettel, pedig ők aztán nem sajnálják a tűzerőt.
- A hozzászóláshoz be kell jelentkezni
Van ertelme. A tamadasok nagy resze ugyanis botokrol erkezik, amik esz nelkul szkennelik a halozatot es probalkoznak mindenhol ahol ssh-t talalnak. Attol megvetheted magad, hogy egy ilyen zombi gep vegigprobaljon nalad egymillio jelszot. Ezen kivul egy celzott tamadast is nagyon meg tud neheziteni, ha minden egyes IP-rol kb 5 jelszot tud csak kiprobalni a tamado.
- A hozzászóláshoz be kell jelentkezni
Szerintem a fail2ban is logol :) Tehat elvileg lehet olyan configot irni, hogy a masodik feloldas utan automatikusan kap +1 het tiltast, az 5. utan +3 hetet stb.
- A hozzászóláshoz be kell jelentkezni
Erre a problémára a 3 hónapos tiltást alkalmazom. Az mégiscsak több, mint 1-2 hét. Szép nagy már a lista. Progresszív kitiltást szerintem sem tud a fail2ban.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
1. rossz próba után minek egyből kivágni? Én 10 rossz próbát engedek 1 IP-nek utána végleg repül. De beállíthatom a NAS-on hogy hány rossz próba után mennyi napra vágja ki.
- A hozzászóláshoz be kell jelentkezni