Fail2ban, stojí za to mít

AbcLinuxu:/ Blogy / kenyho_stesky / Za vším hledej Linux / Fail2ban, stojí za to mít

Štítky: databáze, jeho, mailserver, pod, smart, SQL, SSD, SSH, tom

Fail2ban, stojí za to mít

31.5.2021 10:46 | Přečteno: 3494× | Za vším hledej Linux

Tak rok se s rokem sešel a dnes po oné roční pauze na mě z mailu vyjukla série 171 mailů vyslaných v rozmezí 5:08–7:05 o zabanovaných subjektech co se pokusily o SQL injekt databáze.

Je opravdu zvláštní shoda okolností, že ta vlna přišla opět krátce po vypruzení místního psychouše, tentokrát v debatě pod Maxovým blogpostem o tom co všechno může prozradit SMART o životnosti SSD disku.

Loni to bylo poté, co jsem se otřel o jeho chlebodárce.

Kromě zmíněných 171 subjektů má aktuálně můj fail2ban zabanovaných:

28 subjektů za to že se pokoušely volat něco co na serveru není.
15 subjektů za to že se pokoušely zneužít mailserver
29 subjektů za to že se pokoušely zneužít mailserver mým jménem
1 subjekt který to zkusil naprudko
89 subjektů co to zkoušelo přes ssh

Hodnocení: 20 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

31.5.2021 12:43 ☼
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

A kdo je ten "místní psychouš"? Prosím konkrétní jméno.

31.5.2021 13:05 neumim napsat mracek
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Proč jméno když máme dokonceobrázek?

31.5.2021 13:56 pavele
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Není tak možné provést jednoduše DOS - zablokovat službu?

Kvůli tomu jsem to nikdy nepoužil.

Pro SSH bylo možné nastavit nějaké pravidla v IPTABLES pro časovou blokaci.

Jinak pěkné, taky si počtu rád systémové logy - po převzetí naší firmy někdo zkoušel přistupovat k Sambě jako "root", příště někdo zkoušel přístup přes IPV6. :-)

31.5.2021 15:16 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Jak to myslíš? Jinak aktuální skóre blokovaných:

35 subjektů za to že se pokoušely volat něco co na serveru není. (+7)
20 subjektů za to že se pokoušely zneužít mailserver (+5)
26 subjektů za to že se pokoušely zneužít mailserver mým jménem (-4)
103 subjektů co to zkoušelo přes ssh (+14)

A poslední přírůstky? No kdo jiný než hoši z Kitaje. 8-P Jinak pokud jde o útočníky co to zkouší na IPv6. Moc jich není ale co jsem zaregistroval, tak ty ten fail2ban sekne taky.

1.6.2021 10:48 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Už se ti přihlásil. Viz dole.

31.5.2021 16:32 XXX
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

Lol cope butthurt damage control kapíča btfo kys

31.5.2021 20:22 Margzen
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

fail2ban je něco, co jsem si vždycky říkal, že bych měl nasadit. Když jsem se k tomu konečně dokopal, tak jsem zjistil, že jsem to udělal už před lety :-D

a že to funguje tak dobře, až jsem na to zapomněl. Příšlušný address-list v hraničním Mikrotiku má k 10k řádkům (a jo, největší podíl mají adresy z Kitánie).

31.5.2021 20:28 Gréta | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

co je to jakoby tamto naprudko?? :O ;D

Zelená energetická soustava založená na obnovitelnejch zdrojích energie versus realnej svět 🤡🇪🇸

1.6.2021 08:39 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

Fail2ban je ako adaptívny firewall ceľkom dobrý, ale len na domáci segment. Ak by to nasadil človek vo firemnej sfére kde sa očakáva NAT alebo Proxy, tak jeden humorista spôsobí DoS na všetkých čo sú s ím za tým NATom alebo proxy.

Bolo by riešenie dať každému zamestnancovi verejnú IPv6 (ideálne aj s ospevovaným ip6-privacy) aby mal ten F2B zmysel?

1.6.2021 09:31 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Všechno je to jen o konfiguraci.

1.6.2021 10:04 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

A pokud má někdo na svém segmentu takového "humoristu", tak by to měl být pro něj dostatečný důvod aby to ta firma začala řešit. Buď si udělá pořádek mezi uživateli, nebo zavede IPv6.

Jinak aktuální stav blokovaných subjektů, doplněný v závorce o celkový počet zablokovaných subjektů od posledního restartu fail2banu (17.5.2021):

0 subjektů co se pokoušelo nabourat web server. (15)
43 subjektů za to že se pokoušely volat něco co na serveru není. (1563)
13 subjektů za to že se pokoušely zneužít mailserver (601)
25 subjektů za to že se pokoušely zneužít mailserver mým jménem (852)
2 subjekty co to zkoušely naprudko (105)
84 subjektů co to zkoušelo přes ssh (2713)
0 subjektů co se pokusilo o inject SQL (171)

Ti co to zkouší naprudko zkoušejí uhádnout heslo roota, protože ten zakázaný není. Ale protože se přihlašuji klíčem, je filtr nastaven dost striktně. Heslo mám jen pro nouzové případy, takže pravděpodobnost že by ho někdy někdo odchytil je dost mizivá.

Filutové co to zkouší na mailserver většinou vyhoří na tom že nemají reverzní záznam. A ten zbytek nemá v pořádku všechny náležitosti.

O pokusech injektovat databázi wiki už jsem psal a ten zbytek se většinou snaží zavolat /srv/main/wp-login.php, což je jistá vstupenka na blocklist.

1.6.2021 11:09 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Chápu, že zápisek v blogu je kompletně o něčem jiném, ale tyhle hodnoty jsou doslova směšné.

Nějaký čas zpátky jsem řešil něco podobného (tím myslím statistiky "útoků") na server, který se (na rozdíl třeba od MX serveru, který je veřejně vidět v DNS) nijak zvlášť veřejně nepropaguje a služba měla navíc změněný port (což obecně nemám rád, protože to stejně vůbec ničemu nepomůže), tak se tam pokusilo za jedno odpoledne přihlásit 8tis botů (resp. 8tis unikátních IP). Toto je na internetu úplně normální, běžný stav. Na stovkách provozovaných serverů v minulém jobu jsem statistiky nevedl, nemá to smysl. Logy ssh jsou jako ventilátor. Některé boty odradí klíče, potom už to dál nezkoušejí, jiné testujou slovník i proti přihlášení pouze klíčem.

Fail2ban je možná hezký pro statistiky ale tím jeho zajímavost tak nějak končí.

Heron

1.6.2021 12:06 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Asi to máme každý nastaveno jinak. Jelikož neprovozuji honeypot, preferuji směšné hodnoty. Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.

Jen pro srovnání, tohle je aktuální stav ze dvou veřejně přístupných strojů, přes které studenti lezou do laborek. Ovšem v pátek byly otočené, takže nevím banovaných adres bylo na počítadle předtím:

77 subjektů co to zkoušelo přes ssh (315)
112 subjektů co to zkoušelo přes ssh (447)

Na každém z nich to vychází zhruba na 100–150 IP adres za den. Tisíce IP adres bylo celkově zabanováno akorát na stroji, ze kterého jede virtualizační platforma. Celkem 713264. Aktuálně jsou na něm banované pouze 3 IP adresy. A ten stroj má uptime 605 dní. Takže to vychází v průměru na 1178 blokovaných IP adres na den. V reálu je to ale spíš tak, že útoky chodí ve vlnách. Protože jsme měli za poslední půlrok hned několik útoků, při kterých se podařilo udělat DDOS na starý hlavní firewall, který už je nahrazen novým.

1.6.2021 13:26 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Já taky neprovozuju honeypot. Tohle jsou prostě čísla z reálného provozu na serverech poskytující služby do Internetu. Fakt se není čemu divit.

Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.

Ten stroj samotný poskytuje službu pro lidi z internetu.

V reálu je to ale spíš tak, že útoky chodí ve vlnách.

To taky, největší vlny na webservery jsme měli z číny, ale to nejspíš nebyl ani útok ani pokus od DDOS (i když se to skoro povedlo), ale obsah těch spojení vykazoval znaky připojení se na proxy a vysvětluji si to tak, že někdo prostě špatně nastavil konfig pro proxy server (možná překlep v ip) a klienti se připojovali k nám. Protože všechna spojení byla jak před kopírák žádost o proxy. Náš stroj pochopitelně proxy neposkytoval a všechno končilo na 404.

Proto tomu taky neříkám útoky.

Heron

1.6.2021 12:10 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Je samozřejmě také rozdíl, jak přistupovat k těm co lezou z netu. Na svém serveru si mohu dovolit posílat nezvané hosty dalekého východu do džá rovnou, takže není důvod je banovat na úrovni IP.

1.6.2021 12:18 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Mimochodem, já to z blogpostu nakonec vypustil, ale byl tam původně ještě odstavec o tom, jak jsem při nedávném upgrade nechal svůj konfigurák přeplácnout distribučním a jaký to pak mělo vliv výkon stroje, mailserver, webový server atp.

1.6.2021 14:05 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Chápu, že zápisek v blogu je kompletně o něčem jiném

Zápisek je o tom, že soudruh komunista kapicabot pár dní zpátky někoho kritizoval za údajnou potřebu si kopnout, načež sám pocítil potřebu si kopnout, a tak to udělal.

Quando omni flunkus moritati

1.6.2021 21:28 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Přestaň se litovat ubožáku. Nikdo do tebe nekope. Ztrapňuješ se tady sám.

2.6.2021 00:25 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Neřekl bych, soudruhu komunisto kapicabote, že se tady ztrapňuji. A nějak nevidím, že bych někde zmiňoval, že někdo kope do mě...

Quando omni flunkus moritati

1.6.2021 15:44 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Čiže prechod na IPv6 s vo východzom stave vynútenými Privacy Extensions zabezpečí poriadok medzi užívateľmi. Už chápem. Užívatelia si budú meniť každú chvíľu svoje adresy, a to zabezpečí že nebude treba dohľadávať vinníka.

To dáva znova ten istý zmysel, a rád by som vedel kam ho to dáva.

Mám rád tvoj humor, kľudne pokračuj. Možno napíšeš aj o tom, ako IPv6 preprogramovalo 5G na šírenie vakcíny proti Covidu.

1.6.2021 21:25 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Proč ze sebe děláš blbce? Tebe to baví? Problém s použitím fail2ban je v případě, že někdo dělá neplechu přes NAT a fail2ban sekne přístup všem co na něm visí. Ti co jedou IPv6 obvykle přes NAT nelezou.

1.6.2021 21:31 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Pointa, alespoň jak já jsem ji pochopil, byla v tom, jak chceš ty IPv6 blokovat? Pokud blokuješ jednotlivé adresy, tak ti do toho hodí vidle privacy extensions. Pokud budeš blokovat /64, /56, /48 tak tím můžeš zablokovat více uživatelů.

Tj při blokaci /128 ti za chvíli dojde místo na disku a při /48 je v podstatě stejný efekt, jako blokovat někoho za ipv4 natem.

Heron

1.6.2021 21:45 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Realita je taková, že podíl IPv6 adres je asi tak 10%.

Měl jsem to štěstí, že se mi podařilo odchytit takový útok přímo na mém notebooku. Není to tak, že by se útočník cpal na ten stroj ihned poté co najde díru. Naopak. Počká a pak použije adresu, která nebyla delší dobu použitá, aby to nebylo nápadné.

Jinak proč boty blokuju jsem už napsal. Číňanům se vrací paušálně kód 304, takže ty nijak speciálně řešit nepotřebuji. Ti otravovali z 60%.

1.6.2021 22:00 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Měl jsem to štěstí, že se mi podařilo odchytit takový útok přímo na mém notebooku. Není to tak, že by se útočník cpal na ten stroj ihned poté co najde díru. Naopak. Počká a pak použije adresu, která nebyla delší dobu použitá, aby to nebylo nápadné.

Jakou díru? Mluvíš o útočníku člověku? Protože automaty fungujou jinak.

Automat zkouší slovník na ssh nebo známé problémy webu a snaží sám sebe zreplikovat. Člověk jde většinou za určitým cílem.

Heron

2.6.2021 00:25 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Automaty hledají jenom díry. Za vlastním útokem už bývá člověk. Možná ne vždy, ale v tomto případě jo. Byla to v podstatě náhoda. Než jsem ho zaříznul, tak jsem chvíli sledoval o co se snaží. V podstatě nic napáchat nemohl, jenom se snažil napočítat nějaké shitcoiny. A díky tomu jsem na to i přišel. Hučel větrák.

Kdyby to bylo na nějakém serveru, tak by si toho nikdo ani nevšiml.

2.6.2021 02:53 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Tak to gratulujem k úspechu. Ale automaty už veľa rokov využívajú distribuované skeny a aj hotové automatizované nástroje na hackovanie. A blokovať botnet schovaný za IPv6 privacy extension musí byť naozaj jednoduché.

2.6.2021 07:09 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Aha, tak v tom případě se nemáme dál moc o čem bavit. Pokud se ty jako admin chceš bavit o tom, že fail2ban ti nějak zázračně pomůže zakrýt chybu, díky které se útočník dostane až na stroj a spustí si tam těžení krypto, tak tady diskuse končí.

Hučel větrák.

Super monitoring.

Kdyby to bylo na nějakém serveru, tak by si toho nikdo ani nevšiml.

Super monitoring.

Heron

2.6.2021 08:16 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Doposud jsem tě měl za racionálního, normálně myslícího člověka. Změnilo se něco?

Jasně jsem uvedl, že to byl notebook. A dokonce jsem to tady v minulosti už jednou zmiňoval.

Opakovaně jsem zdůraznil, že síťový DDOS pro mne nepředstavuje problém. Proč tuhle informaci vytrvale ignoruješ? To ti nedochází, že služby lze znepřístupnit mnohem efektivněji normálními dotazy?

Ty školní servery jsou na 10G sítí a případný paketový storm odchytí hlavní switch, takže to není typ útoku co by mne zajímal.

2.6.2021 08:46 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Jasně jsem uvedl, že to byl notebook.

A ono to na situaci něco mění?

To ti nedochází, že služby lze znepřístupnit mnohem efektivněji normálními dotazy?

To mi samozřejmě dochází, ale ono taky záleží co ten stroj dělá, má dělat, jak je nastaven a zda má k tomu dostatek prostředků. A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde.

A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace stroje. Úplně obecně řečeno, ten stroj by měl mít tolik prostředků, aby levou zadní stíhal provoz, který mu tam může přijít. Tj omezovat by ho měla linka, nikoliv výkon.

Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání, tak je potřeba mít nějaký systém fronty, do které spadne uživatelský požadavek a nějak se pak uživatelům oznámí výsledek. Takto to řeší třeba i google, export dat není na počkání, ale za pár hodin ti přijde email, s odkazem na stažení. A tak dále.

Jinými slovy, správně nastavený server nemá jít přetížit běžnými požadavky. Ano, nebudu si hrát na supermana, někdy je to těžké nastavit a pracuje se s reálnými lidmi, kteří jsou schopni udělat prasárnu typy (select count(*) from (select * from table order by col)) nad 4GB tabulkou, takže dotaz pokaždé vytvoří 4GB temporary table jen proto, aby spočítal počet záznamů. Takového vývojáře je potřeba okamžitě střelit do hlavy.

A z mojí zkušenosti plyne, že jednotka dočasnosti je jeden furt. Fail2Ban se může jevit jak rychlé fajn řešení nějakého problému, ale tím se většinou jenom odloží skutečné řešení nějakého problému. Jak jde čas, tak je to jen horší, protože potom služba nestíhá ani za blokátorem.

Heron

2.6.2021 09:18 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde.

Může, ale většinou nemá. Obzvláště v situaci kdy ji platíš.

Všechno je to o vyvážení zátěže. Pro mne je fail2ban především represivní nástroj na ty co porušují pravidla a zkoušejí různé brykule.

Primární aplikací na mém soukromém serveru je wiki a moc dobře vím jaké má slabiny, které principiálně na aplikační úrovni moc řešit nejdou. Kupř. taková prkotina - výpis všech souborů. Stačí pár klientů co to zavolá se správnými parametry ve stejnou chvíli a máš vystaráno. Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele. No a ty boty se to pokoušejí různým způsobem obejít. A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.

2.6.2021 11:09 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele.

Ano, tak se to běžně dělá.

No a ty boty se to pokoušejí různým způsobem obejít.

Ale to ti přece může být jedno, boti dostávají neustále http 401 (nebo něco podobného), ten server by o tom z hlediska výkonu ani neměl vědět. To, že na všechny loginy vystavené do internetu se neustále něco zkouší přihlašovat, je běžná věc.

A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.

Pokud je to jen odesílající mailserver pro tu jednu místní službu, tak jak se k němu mohou hlásit klienti z internetu? To nedává smysl.

Heron

2.6.2021 12:12 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Vemu to odzadu.

Je to mailserver pro jednu místní službu, který některé aliasy redirektuje na jiné mailové adresy. I jiný mailserver je klient. Ovšem takový klient má obvykle i reverzní záznam. Maily ostatních klientů se rovnou zahazují. Ale aby opakovaně neotravovaly, zároveň je sekne fail2ban.

Nemám typickou wiki a ne všechny boty považuji za škodlivé. Kupř. existuje velice jednoduchý způsob, jakým lze wiki zaměstnat až k naprosté nepoužitelnosti. Nebudu ho tu ventilovat, protože se tu vyskytují existence, které by toho byly schopny zneužít. U mé wiki by to mohl udělat leda nějaký poblázněný uživatel, ovšem u wiki s povoleným anonymním přístupem to může udělat každý. Pochopitelně se provozovatelé takových wiki pokoušejí řešit. Podle mne ale tím nejpitomějším způsobem.

Minulý rok se na mne obrátil s prosbou o pomoc kluk z Finska, kterému jsem v rámci možností vyhověl. Chtěl pomoct s rozběháním Wikibase a měl hrozný problém pochopit, že se tím výkon té jeho wiki nezlepší. Zřejmě mne doporučil nějakému svému kámošovi, ale toho už jsem rovnou odmítnul. A zrovna minulý týden se na mne obrátil s podobnou představou pro změnu týpek z Francie. Důvod proč se tím nehodlám zabývat je prostý – je to závislé na rozšíření Scribunto (Lua). Jsem zastánce pure wiki.

2.6.2021 09:32 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace stroje

Tak to pozor, tohle není pravda. Konfigurace stroje může být naprosto v pořádku, ale není to nic platné, když je služba postavená na pomalé doprasené aplikaci (kousek vedle v diskuzi se debatuje wordpress, což v kombinaci se "správnými" pluginy je přesně takový případ.)

Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání...

S tím (a dalšími odstavci) už samozřejmě nelze než souhlasit. Ale moc vývojářů to neumí.

Quando omni flunkus moritati

2.6.2021 09:39 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Doposud jsem tě měl za racionálního, normálně myslícího člověka. Změnilo se něco?

Samozřejmě, zcela v souladu s vaším modelem, změnilo se to, že se Heron dopustil nejvyššího zločinu: nesouhlasí s názorem soudruha komunisty kapicabota.

Quando omni flunkus moritati

2.6.2021 18:18 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Nějak ti uniklo, že přes rozdílné názory debata s Heronem nejde na tvou dětinskou podúroveň. Na rozdíl od tebe totiž není magor, který by se vyhýbal psychiatrické péči a svůj mindrák z osobního selhání si kompenzoval vulgárním napadáním osoby, která o tom taktně nemlčí.

2.6.2021 21:52 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Co mi neuniklo, soudruhu komunisto kapicabote, i když chápu, že asi nemáte dostatek paměti, abyste si to ještě pamatoval, tak jste i v diskuzi s ním sklouzl k urážkám, jakmile s vámi nesouhlasil. Vulgární napadání osob a možná i ten mindrák je vaše parketa, ale to, že přisuzujete tento i další svoje nedostatky na ostatní, to už u vás nikoho nepřekvapí.

Quando omni flunkus moritati

1.6.2021 21:49 Gréta | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

tak todleto je jakože to naprudko :D ;D

Zelená energetická soustava založená na obnovitelnejch zdrojích energie versus realnej svět 🤡🇪🇸

1.6.2021 10:17 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

Zdá se, že soudruh komunista kapicabot ke svému portfoliu přidal narcismus, teď už se považuje za tak důležitého, aby v internetu zcela běžné a plošné útoky považoval za něco, co je spojeno s jeho osobou.

Quando omni flunkus moritati

1.6.2021 12:14 Radovaan
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Můžeš laskavě přestat na kapustu posílat tisíce robotů jako nějakej skynet? Nevidíš že z toho má další psychózu?

1.6.2021 12:27 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Shoda okolností, není totéž co potvrzený fakt. A i kdyby, alespoň vím, že ten můj filtr pro fail2ban funguje.

1.6.2021 12:49 Radovaan
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Tak se potom rozčiluj na Miriam, že tě označuje za pedofila, když tady rozhazuješ obvinění a la chytrá horákyně. JuST aSkIng QUeStIOns. Ty jsi taková žumpa, to snad neni možný.

1.6.2021 16:50 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Sám jsi a na druhé to svádíš. Konec konců si je toho Bourek vědom, že chová jako kokot. Jenže tím jak furt vyšiluje se ten jeho stav nezlepší. A ty si dej bacha ať nedopadneš stejně, už teď jsi v tom hnoji až po nosní díry.

2.6.2021 00:24 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Buďte v klidu, soudruhu komunisto kapicabote, moje chování je oproti tomu vašemu na velmi dobré úrovni. Narozdíl od vás tady nikoho nenavádím k tomu klást životu nebezpečné pasti na lidi, ani nepropaguji psychopatické názory o tom, jak mi nevadí, když někdo zemře na nemoc. Ani tu lidem nenadávám za odlišné názory. A v tom výčtu by se dalo pokračovat.

Quando omni flunkus moritati

2.6.2021 08:27 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Kdyby to co píšeš bylo aspoň vtipné. Jsi jak malé děcko. Ale fajn že jsi připoměl, co bylo tvým kuřím okem.

Ale můžeš si gratulovat. Už opravdu nevím o nikom, kdo by sem ještě chodil něco psát pod vlastní identitou, mimo mne a Maxe.

2.6.2021 09:37 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Soudruhu komunisto kapicabote, tady vám ta umělá inteligence úplně nezafungovala, protože gratulace jsou na místě, když se někdo o něco snažil a povedlo se mu to. V tom, o čem - nejspíš, ono to není úplně poznat - mluvíte, není naplněno ani jedno.

Quando omni flunkus moritati

2.6.2021 09:57 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Z toho mektání v diskuzích už ti hráblo natolik, že se ten tvůj bábol nedá ani dešifrovat.

2.6.2021 11:21 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Bohužel, soudruhu komunisto kapicabote, to je dáno tím, že holt nejste nejnovější model a i hardware vám byl nadělen z toho, co bylo k dispozici, nikoliv z toho, co je špička v oboru

Quando omni flunkus moritati

2.6.2021 12:14 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

To je možné. Ale pořád funguje líp než ten tvůj.

2.6.2021 12:57 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

To se vám, soudruhu komunisto kapicabote, samozřejmě jako umělé inteligenci může zdát, ale to je prostě tím, že na lidi nemáte srovnání.

Quando omni flunkus moritati

2.6.2021 14:50 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Ty jako srovnánací etalon rozhodně neposloužíš.

2.6.2021 14:51 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Ale neboj. Pokud někdo podnikne srovnávací studii IQ houpacích koňů, dám mu na tebe doporučení.

2.6.2021 14:56 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

To od vás, soudruhu komunisto kapicabote, nebude vůbec hezké, neboť takovému člověku nebudu schopen v takové záležitosti nijak pomoci ani poradit. Na druhou stranu udělat něco, čím někomu škodíte, k vám patří, takže žádné překvapení.

Quando omni flunkus moritati

2.6.2021 15:41 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Tobě Bourku, by takové srovnání mohlo akorát přidat na sebevědomí. Tak jakápak škoda.

2.6.2021 21:54 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

To vám, soudruhu komunisto kapicabote, nemá cenu vysvětlovat. Vzhledem k tomu, že tady delší dobu vykazujete znaky toho, že jste psychopat, je zbytečné vám vysvětlovat, jak jiným škodíte. Není ve vašich možnostech to pochopit.

Quando omni flunkus moritati

1.6.2021 15:52 JiK | skóre: 13 | blog: Jirkoviny | Virginia
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

nechcete se nekdo rozepsat o tom jak to spravne nakonfigurovat?

Jirka Cech

1.6.2021 16:39 j
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

A to se da? Totiz jak uz zminil Heron, desitky tisic pokusu o login pripadne o otevreni jak reseto deravy administrace wp ... jsou na internetu naprosto normalni.

Pricemz tim, ze se to jakoze budes snazit "resit" se nakonec DOSnes sam. Naprosto bezne muzes mit pak 100k+ pravidel. A to uz jen tak nejaka krabka neudejcha.

Takze realita je spis ta, ze je naopak mnohem efektivnejsi omezit logovani na naprosty minimum, ostatne to ze se nekdo snazil a nepovedlo se te vlastne vubec nezajima. Tebe to zacne zajimat az kdyz se povede.

Pokud se pak budem bavit o realne vazne minenym utoku, tak f2b si ani nevsimne, ze se neco deje. Typicky totiz banuje opakovany pokusy z jedny IP, ale na ty vubec nedojde.

Ale sou mezi nami i taci trotli, ktery kvuli scanu portu podavaji trestni oznameni ... to asi tak stejny, jako kdybys nekoho zaloval, ze ti vzal za kliku.

Co cas od casu delam je to, ze kdyz me nekdo vazne sere, hodim na blacklist cely Ccko. Rucne. Uz se mi takhle parkrat i nekdo ozval s tim, ze ale oni snama komunikovat chteji, tak sem jim rek, at si nejdriv poresej ten bordel ve svy siti. Kupodivu, docela to funguje.

---

Dete s tim guuglem dopice!

1.6.2021 16:51 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Skenování portů mě je ukradené.

Klasický scénář je ten, že si to nejdřív zkusí oťuknout, pak zkoušejí co jim projde no a ve chvíli kdy nabydou dojmu, že před sebou mají snadnou kořist to zkusí.

Pricemz tim, ze se to jakoze budes snazit "resit" se nakonec DOSnes sam. Naprosto bezne muzes mit pak 100k+ pravidel. A to uz jen tak nejaka krabka neudejcha.

Tak v prvé řadě je asi na místě, aby si každý uvědomil, že server není firewall, ani krabička za 5 litrů. Ten stroj,

Co cas od casu delam je to, ze kdyz me nekdo vazne sere, hodim na blacklist cely Ccko.

Jo. Taky jsem to tak pro zábavu dělal. Ale z prakticky se osvědčila jiná kombinace.

1.6.2021 18:04 j
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Eh ...lol ...

"...že server není firewall, ani krabička za 5 litrů."

Vis, kdyz uz, tak se tohle rozhodne neresi na serveru, kde ta sluzba bezi, a neresi se to na nem prave proto, ze se od nej kupodivu chce, aby poskytoval tu sluzbu ktera na nem bezi a ne aby se zaobiral vyhodnocovanim statisicu pravidel jestli jako muze nebo nemuze.

A protoze netusis o cem pises, tak ver tomu, ze 100k pravidel polozi libovolnej server. Ve skutecnosti se DOSnes mozna uz pri 10k. Bud ti dojde ramka nebo cpu.

Proto se to resi na krabkach, ktery jsou primo na to navrzeny a rozhodne se to neresi tak, ze by se blokovaly jednotlivy IPcka, coz je presne to, co f2b dela.

Presne jak tu zaznelo, f2b si muzes provozovat doma na pude, nebo nekde v garazi, kde je celkovej flow +- 00 prd. Kdyz jen kouknu na odmitnuty pripojeni na mailserveru, tak je to neco kolem 15 000 denne. Mam je vsechny zabanovat? Aby to melo smysl aspon na mesic? Takze kdyby to kazdej zkusil jednou, budu mit 450 000 pravidel JEN na maily? lol ...

---

Dete s tim guuglem dopice!

1.6.2021 18:45 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Víš vtip je v tom, zvolit optimální řešení. Fakt si mě rozesmál s těmi počty. Proč bych měl mít několik desítek tisíc pravidel, když mi jich stačí pět šest? Pokud to jinak neumíš, tak asi něco děláš blbě. Provoz o jakém hovoříš nemáme snad ani na tom hlavním firewalu na Karláku. Ale to není můj rank.

Jedno pravidlo se ovšem potvrzuje beze zbytku. S jídlem roste chuť. A pokud útočníky neklepneš přes prsty včas, jejich kreativita se zvyšuje.

1.6.2021 21:03 j
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Jasne, takze jen potvrzujes, ze tu blabolis, a netusi o cem.

Zvladas scitat? Zjevne nikoli ...

"28+15+29+1+89 subjektů co to zkoušelo přes ssh"

Chmm to mame ... nejakych +- 160 pravidel ... coz je naprosto k smichu, to bych 10x vic vygeneroval i doma.

Provoz o jakym mluvim je pidifirma, kdyz se podivam na vetsi, bude tam radove vic. Takovy ssh tamtez dela taky cca 10-15k pokusu denne. Pripadne muzu jeste nadhodit RDPcko* ... nejakych 8k denne.

A ne, nezatezuje to ani zdaleka dostupnou konektivitu, realne to je na urovni sumu pod 1%. Kdyby to chtel nekdo dosovat pres to ze vyzere linku nebo pps, musel by jit o par radu vejs.

*Tohle je vubec technologie ala M$ (jak jinak, kdyz tam nikdo jinej nez curaci nedela). Pripojeni to totiz zahajuje tak, ze to ten stejnej paket posle ... 2x. To asi kdyby jeden cestou zabloudil.

---

Dete s tim guuglem dopice!

1.6.2021 21:19 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Možná ta tvá pidifirma má data která jsou pro někoho moc zajímavé. Spravoval jsem 5 let servery pro jednu certifikační autoritu a ty počty blokovaných adres byly plus mínus stejné jako mívám teď.

1.6.2021 16:55 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Asi tak. Pokud se někdo cítí ohrožen slovníkovými útoky nebo útoky na roky známé a opatchované chyby, tak by se spíš měl zamyslet nad způsobem své administrace serverů. On i ten nenáviděný Wordpress umí už já nevím 7+ let (v rychlosti jsem našel email z roku 2014) automatické updaty, takže vždycky jen přijde email z webů, že je to aktualizaované. Ideální příležitost se tam přihlásit a pořešit pluginy. Takže vlastně jediné co zbývá jsou slabá hesla tam, kde se přihlašuje hesly.

A potom samozřejmě mnohem sofistikovanější útoky na 0 day zranitelnosti apod.

Heron

1.6.2021 17:02 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Pak se ale nediv, že máš 8 tisíc botů za odpoledne.

1.6.2021 17:33 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Já se nedivím. Já to uváděl jen jako statistiku.

Heron

1.6.2021 17:53 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Fajn. Tak já mám na všech strojích čísla řádově nižší. Čím si to vysvětluješ?

1.6.2021 18:21 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Proč bych si to měl vůbec vysvětlovat? Nehledě na to, že nemám údaje o tom, na kterých strojích to sbíráš, nevím, jakou ty stroje mají roli, jak dlouho běží (ta jimi poskytovaná služba) apod. A dokonce to ani nevím o tom stroji, kde jsem dělal tu statistiku. Chtěli analýzu logů, dostali ji. Nazdar.

Diskuse na této úrovni nemá žádný smysl.

Jestli tobě dává smysl a něco ti přináší blokování IP na základě nějakých tebou definovaných pravidel, tak fajn. Je to tvoje věc.

Mě to smysl nedává, nedělám věci, které nedávají smysl, neinstaluju na server něco, co tam nemusí být apod. Informace o tom, že se někdo pokusil připojit na neexistující službu nebo do existující služby poslal něco, mě fakt nechává chladným.

Heron

1.6.2021 18:52 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Ale já ti napsal na jakých strojích to sbírám. Jsou to stroje, které fungují jako ssh proxy do laborek. Veřejná IPv4 adresa a přihlášení heslem povoleno. A běží takhle už víc jak rok. Ten jeden dokonce už několik let. Samozřejmě s občasným restartem. Přeci jenom jsou to virtuální disklessy, kterým udělá reboot jen dobře. Jinak je to stejný systém co laborkách. Moje know-how.

1.6.2021 19:12 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Potom by mě moc zajímalo, co na ssh proxy dělá mailserver.

A jako co vlastně má být výsledkem debaty? Budeme porovnávat neporovnatelné stroje a měřit na nich nic neříkající metriku?

Heron

1.6.2021 21:14 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Porovnával jsem stroje, na kterých čas od času na ten fail2ban kouknu. Jasně jsem uváděl, že jde o jiné stroje, v jiné síti, s jiným účelem ale cca stejným počtem blokovaných IP adres.

Takže metrika je taková, že vy se oháníte tisícovkama blokovaných IP adres, zatím co u mne to nepřekračuje řád stovek. Tudíž mne zajímá čím to. Je to tak těžké pochopit?

1.6.2021 21:26 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

se oháníte tisícovkama blokovaných IP adres

Ne, já žádné IP neblokuju a nikde jsem to taky nepsal. Jen jsem uváděl statistiky z logů.

Heron

1.6.2021 21:33 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

V tom případě srovnáváš nesrovnatelné. Moje zkušenost je taková, že jakmile nasadíš fail2ban zájem botů prudce klesá. No a to je důvod proč ho používám.

1.6.2021 21:38 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Já srovnávám nesrovnatelné? Nebyl jsi to náhodou ty, kdo po mě chtěl analýzu, proč je to tak rozdílné? Já jen celou dobu uvádím statistiku. Nic víc.

No a to je důvod proč ho používám.

Jen pro to, abys měl menší čísla v nějaké metrice?

Heron

1.6.2021 21:48 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Jen pro zajímavost. Co myslíš že takový bot dělá?

1.6.2021 21:57 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

To záleží jakej a co je jeho cílem. Na špatně zabezpečeném webserveru, pokud se podaří protlačit tam php, tak většinou generuje spam (protože posílání emailů je většinou phpku povoleno).

Pokud se mu podaří získat uživatele, tak se snaží útočit na další stroje v síti a rozmnožovat se. Potom záleží, co je jeho náplní práce. Může být použit jako DDOS nástroj, těžení krypta, klasickej spam apod.

Heron

1.6.2021 22:04 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

No tak vidíš. Já blokuji hlavně ty, co se pokouší o DDOS a ty, co se pokouší zneužít mailserver.

1.6.2021 22:13 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Co mám vidět?

Já blokuji hlavně ty, co se pokouší o DDOS

Pokud by to byl skutečný DDOS, tak ti zahltí linku rychleji než server.

ty, co se pokouší zneužít mailserver

Proč? Předpokládám, že ten server má alespoň základní zabezpečení, není to open relay a odesílat emaily prostřednictvím toho serveru mohou pouze přihlášení uživatelé. Jinými slovy, ten server bez znalosti hesla uživatele nikdo nemůže zneužít a pokud ano, tak víš který účet je kompromitovaný.

Jako mě adminování mailserveru nikdy nebavilo, ale nasadit fail2ban na jeden z těch mailserverů s 50 doménamy, co jsem spravoval, by velmi rychle zablokovalo přístup z ČR a zákazníci by mi velmi poděkovali. A ano, jednou za x let zavirovaný komp nějakého usera vesele rozesílal prostřednictvím jeho účtu spam (většinou teda přes napadený outlook), tak jej bylo nutné zablokovat. Ale ne vypnout celý server, nebo zabanovat půlku republiky. Server musí běžet.

Heron

1.6.2021 22:34 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

DDOS není jenom záležitost sítě. Měl jsem za to že to víš.

1.6.2021 22:44 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

A ty packety se tam dostanou jak? Poštovními holuby? I když všechny ddos packety budeš na daném serveru zahazovat, tak ti zahltí linku a normální user se tam stejně nedostane - ddos tím bude úspěšný. DDOS útok je proto nutné řešit nikoliv až na koncovém serveru, ale co nejblíže ke vstupu do sítě, kde se dá očekávat silnější linka, než má ten koncový server. Jinak to nemá smysl.

Heron

2.6.2021 00:13 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Co do toho pořád taháš síť? Přečti si co je DDOS. Jsou prostě boty, které jenom nutí server makat a tím ho obírají o RAM, výpočetní a I/O výkon. Chápu že to nakrásně nemusí být jejich primární zájem. Ale proč bych měl mrhat výkonem na roboty, které si kamsi kešují to co se jim vrací, na úkor uživatelů? U fyzického stroje, který má mraky jader a hafec RAM je mi to jedno. Ale u virtuálu, kde mám limitované prostředky ne.

2.6.2021 07:29 j
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Ty fakt vubec nechapes o cem blabolis vid? Jak ti tu Heron naznacil, a tys to zjevne vubec nepochopil, tak kazdej server unese MNOHEM vetsi provoz, nez unese typicka linka, kterou je pripojenej.

Pro blbe (tebe) pokud budu mit Gbit (a to vetsina serveru ani zdaleka nema) tak neexistuje zpusob, jak by nekdo moh DOSnout ten server. Jednoduse proto, ze na to Gbit nestaci.

Zato existuje velice snadnej a trivialni zpusob, jak DOSnout libovolnou linku, a na to je ti jakykoli zahazovani cehokoli uplne khovnu, protoze toho prichoziho provozu se tim nijak nezbavis.

Stejne tak tvuj slepici mozek nedokaze pochopit, ze je radove levnejsi odmitat konexe na urovni sluzby, nez nechavat VSECHNY pakety (vcetne tech od legalnich uzivatelu) putovat pres statisice pravidel.

---

Dete s tim guuglem dopice!

2.6.2021 08:01 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Kdyby ses místo urážek obtěžoval přečíst hned tu první větu, tak bys pochopil, že celý ten tvůj výkřik je naprosto mimo mísu.

2.6.2021 00:33 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Jen tak pro info, možná by to do diskuze mohlo vnést trochu světla - https://www.abclinuxu.cz/blog/Tomik/2021/1/kutilove-meli-pravdu/diskuse#285

(00d64a31970fd5260ab0f29c53d87c5819e57eb75e968837deca08e454776f15)

Quando omni flunkus moritati

1.6.2021 18:18 j
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

S WP si muzes hodit minci, ze bud ho nechas deravej a +- jakoze funkcni, nebo ho budes patchovat, a neustale resit, ze to ci ono (predevsim ty pluginy) nefunguje. Od nekolika takovych sem s nesmirnym potesenim dal ruce pryc.

Jinak naprosto chapu pokusy na znamy bugy. Za ten pokus nic nedas, a ono se dycinky neco urodi. A nemusis ani nic hackovat, pust si scan na sambu, a zcela jiste najdes.

BTW: minuta ... nez prijde prvni scan, a do 5 minut, nez prijde prvni pokus o login na sshcko na nedefaulnim portu (taky to nedelam rad, vetsinou to vic veci rozbije nez vyresi).

---

Dete s tim guuglem dopice!

1.6.2021 18:33 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

S WP si muzes hodit minci, ze bud ho nechas deravej a +- jakoze funkcni, nebo ho budes patchovat, a neustale resit, ze to ci ono (predevsim ty pluginy) nefunguje. Od nekolika takovych sem s nesmirnym potesenim dal ruce pryc.

Mám svoje weby na WP už jedenáct let kontinuálně a nic se nikdy nerozbilo. Jasně, přebírat web po někom, kdo tam dá pluginy odněkud a potom je to tak křehké, že to nejde updatovat, tak to je peklo, ale vlastní udržovaný web není problém. Tím WP neobhajuju, sám jsem v přechodu na statický web, nakonec to zůstalo u schizofrenie, kdy je část WP a část statická. Časem wp dropnu taky.

Jinak naprosto chapu pokusy na znamy bugy.

Z hlediska útočníka určitě. Z hlediska admina ne.

minuta ... nez prijde prvni scan, a do 5 minut, nez prijde prvni pokus o login na sshcko na nedefaulnim portu (taky to nedelam rad, vetsinou to vic veci rozbije nez vyresi).

Někdy bych to mohl zopakovat, před lety jsme se s kolegy bavili tím, že jsme sledovali, za jak dlouho se na čerstvě nainstalovaný server se slabým heslem (a povoleným heslem v ssh) někdo připojí. Většinou do 10 minut a byl tam.

Heron

1.6.2021 16:43 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

A co konkrétního bys chtěl vědět?

1.6.2021 17:01 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

nechcete se nekdo rozepsat o tom jak to spravne nakonfigurovat? Váš komentář

Aby ti to něco hlídalo, tak to musíš hlavně zapnout v /etc/fail2ban/jail.conf. Pak si musíš zkontrolovat, jestli to skutečně sedí na tom co chceš hlídat. Rozhodnout se jak budeš velký dobrák, zvolit co budeš ještě akceptovat a co a na jak dlouho chceš banovat.

Pak už záleží jen na tobě co vyhodnotíš jako škodlivou činnost. V adresáři /etc/fail2ban/filter.d/ jsou nějaké předpřipravené věci. A podle nich si můžeš udělat filtr vlastní, pokud někdo zkouší nějaké brykule, které ještě nebyly podchyceny. Chce to něco málo vědět o regulárních výrazech, a to je všechno.

Fail2ban není nic jiného než nadstavba nad logy, která automatizuje to co bys jinak řešil ručně.

2.6.2021 21:50 alfonz
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

V minulosti jsem fail2ban používal a přemýšlel jsem, že je to ok ochrana pro pro SSH. Nakonec jsem začal používat sshuttle a nastavil pouze vybrané IP adresy pro ssh.

Pro webservery je to možná ok na přihlášení.

9.6.2021 12:01 _
Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

Odpovědět | Sbalit | Link | Blokovat | Admin

Zas ti na internetu někdo ubližuje?

Založit nové vlákno • Nahoru