abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 06:00 | Komunita

    Vydání Debianu 11 s kódovým jménem Bullseye je naplánováno na sobotu 14. srpna.

    Ladislav Hagara | Komentářů: 8
    23.7. 23:55 | Nová verze

    Google Chrome 92, konkrétně verze 92.0.4515.107, byl v úterý prohlášen za stabilní. Opraveno bylo 35 bezpečnostních chyb. Pete LePage doteď nepublikoval oficiální přehled novinek (New in Chrome, YouTube). Publikován byl jenom seznam novinek v nástrojích pro vývojáře (YouTube). Sundar Pichai dnes na Twitteru oznámil vylepšení integrované hry chrome://dino/.

    Ladislav Hagara | Komentářů: 12
    23.7. 08:00 | Nová verze

    Firewall firewalld (Wikipedie, GitHub) dospěl do verze 1.0.0. Upozornit je nutno na nekompatibilní změny. Zrušena byla podpora Pythonu 2.

    Ladislav Hagara | Komentářů: 0
    23.7. 01:11 | Komunita

    Milí priatelia Mozilly, tím Mozilla.sk hľadá pomoc v radoch dobrovoľníkov, ktorí sú ochotní pomáhať nám s týmto projektom. Vítaná je akákoľvek pomoc, no aktuálne hľadáme hlavne ľudí, ktorí by sa starali o aktuálnosť lokalizovaných článkov na stránkach podpory SUMO. Projekt je doteraz veľmi sviežo udržiavaný, no naše kapacity prekročili všetky limity a už nestíhame. Ak sa nám v najbližšej dobe nepodarí rozšíriť tím, bude nutné zo stránok

    … více »
    Ladislav Hagara | Komentářů: 21
    22.7. 12:00 | Nová verze

    PeerTube (Wikipedie), svobodná decentralizovaná platforma pro pro sdílení a přehrávání videí, byla vydána ve verzi 3.3. Z novinek lze zmínit možnost snadné úpravy úvodní stránky, vyhledávání v seznamech videí nebo kratší odkazy na videa.

    Ladislav Hagara | Komentářů: 33
    22.7. 09:00 | Komunita

    Vývojáři svobodného (GPLv3) šachového enginu Stockfish (Wikipedie) na svém blogu informují, že podali žalobu na společnost ChessBase (Wikipedie): ChessBase prodává šachový engine Fat Fritz 2 vycházející z enginu Stockfish a své uživatele neinformuje o GPL licenci a neposkytuje jim zdrojové kódy.

    Ladislav Hagara | Komentářů: 11
    22.7. 08:00 | Komunita

    Alyssa Rosenzweig se v příspěvku na blogu společnosti Collabora věnuje reverznímu inženýrství GPU Mali G78 s mikroarchitekturou a instrukční sadou Valhall. Po měsíci práce byla vydána referenční instrukční sada (pdf).

    Ladislav Hagara | Komentářů: 3
    22.7. 07:00 | Zajímavý software

    LiveKit je nedávno uvolněna open source platforma pro realtimovou komunikaci. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    21.7. 13:11 | Nová verze

    Po čtyřech měsících vývoje od vydání verze 5.7 byla vydána nová verze 5.8 svobodného open source redakčního systému WordPress. Kódové označení Tatum bylo vybráno na počest amerického jazzového klavíristy Arta Tatuma (Yesterdays).

    Ladislav Hagara | Komentářů: 27
    21.7. 08:00 | Bezpečnostní upozornění

    Společnost Qualys zveřejnila na svém blogu informace o v upstreamu již opravených bezpečnostních chybách CVE-2021-33909 v Linuxu (txt) a CVE-2021-33910 v systemd (txt). Chyba v Linuxu (fs/seq_file.c) je zneužitelná k lokální eskalaci práv.

    Ladislav Hagara | Komentářů: 7
    Preferuji
     (62%)
     (28%)
     (10%)
    Celkem 321 hlasů
     Komentářů: 61, poslední včera 12:19
    Rozcestník
    Štítky: není přiřazen žádný štítek


    Vložit další komentář
    31.5. 12:43 ☼
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    A kdo je ten "místní psychouš"? Prosím konkrétní jméno.
    31.5. 13:05 neumim napsat mracek
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Proč jméno když máme dokonceobrázek?
    31.5. 13:56 pavele
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Není tak možné provést jednoduše DOS - zablokovat službu?

    Kvůli tomu jsem to nikdy nepoužil.

    Pro SSH bylo možné nastavit nějaké pravidla v IPTABLES pro časovou blokaci.

    Jinak pěkné, taky si počtu rád systémové logy - po převzetí naší firmy někdo zkoušel přistupovat k Sambě jako "root", příště někdo zkoušel přístup přes IPV6. :-)
    31.5. 15:16 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Jak to myslíš? Jinak aktuální skóre blokovaných:
    • 35 subjektů za to že se pokoušely volat něco co na serveru není. (+7)
    • 20 subjektů za to že se pokoušely zneužít mailserver (+5)
    • 26 subjektů za to že se pokoušely zneužít mailserver mým jménem (-4)
    • 103 subjektů co to zkoušelo přes ssh (+14)
    A poslední přírůstky? No kdo jiný než hoši z Kitaje. 8-P Jinak pokud jde o útočníky co to zkouší na IPv6. Moc jich není ale co jsem zaregistroval, tak ty ten fail2ban sekne taky.
    1.6. 10:48 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Už se ti přihlásil. Viz dole.
    31.5. 16:32 XXX
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Lol cope butthurt damage control kapíča btfo kys
    31.5. 20:22 Margzen
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    fail2ban je něco, co jsem si vždycky říkal, že bych měl nasadit. Když jsem se k tomu konečně dokopal, tak jsem zjistil, že jsem to udělal už před lety :-D a že to funguje tak dobře, až jsem na to zapomněl. Příšlušný address-list v hraničním Mikrotiku má k 10k řádkům (a jo, největší podíl mají adresy z Kitánie).
    Gréta avatar 31.5. 20:28 Gréta | skóre: 32 | blog: Grétin blogísek | Stockholm
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

    co je to jakoby tamto naprudko?? :O ;D

    v každým afroamerickým otvoru kterej se zhroutí mužou bejt skovaný semínka uplně novýho vesmíru hele 🕳 🕳
    1.6. 08:39 Peter Golis | skóre: 62 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Fail2ban je ako adaptívny firewall ceľkom dobrý, ale len na domáci segment. Ak by to nasadil človek vo firemnej sfére kde sa očakáva NAT alebo Proxy, tak jeden humorista spôsobí DoS na všetkých čo sú s ím za tým NATom alebo proxy.

    Bolo by riešenie dať každému zamestnancovi verejnú IPv6 (ideálne aj s ospevovaným ip6-privacy) aby mal ten F2B zmysel?
    1.6. 09:31 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Všechno je to jen o konfiguraci.
    1.6. 10:04 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

    A pokud má někdo na svém segmentu takového "humoristu", tak by to měl být pro něj dostatečný důvod aby to ta firma začala řešit. Buď si udělá pořádek mezi uživateli, nebo zavede IPv6.

    Jinak aktuální stav blokovaných subjektů, doplněný v závorce o celkový počet zablokovaných subjektů od posledního restartu fail2banu (17.5.2021):

    • 0 subjektů co se pokoušelo nabourat web server. (15)
    • 43 subjektů za to že se pokoušely volat něco co na serveru není. (1563)
    • 13 subjektů za to že se pokoušely zneužít mailserver (601)
    • 25 subjektů za to že se pokoušely zneužít mailserver mým jménem (852)
    • 2 subjekty co to zkoušely naprudko (105)
    • 84 subjektů co to zkoušelo přes ssh (2713)
    • 0 subjektů co se pokusilo o inject SQL (171)

    Ti co to zkouší naprudko zkoušejí uhádnout heslo roota, protože ten zakázaný není. Ale protože se přihlašuji klíčem, je filtr nastaven dost striktně. Heslo mám jen pro nouzové případy, takže pravděpodobnost že by ho někdy někdo odchytil je dost mizivá.

    Filutové co to zkouší na mailserver většinou vyhoří na tom že nemají reverzní záznam. A ten zbytek nemá v pořádku všechny náležitosti.

    O pokusech injektovat databázi wiki už jsem psal a ten zbytek se většinou snaží zavolat /srv/main/wp-login.php, což je jistá vstupenka na blocklist.

    Heron avatar 1.6. 11:09 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Chápu, že zápisek v blogu je kompletně o něčem jiném, ale tyhle hodnoty jsou doslova směšné.

    Nějaký čas zpátky jsem řešil něco podobného (tím myslím statistiky "útoků") na server, který se (na rozdíl třeba od MX serveru, který je veřejně vidět v DNS) nijak zvlášť veřejně nepropaguje a služba měla navíc změněný port (což obecně nemám rád, protože to stejně vůbec ničemu nepomůže), tak se tam pokusilo za jedno odpoledne přihlásit 8tis botů (resp. 8tis unikátních IP). Toto je na internetu úplně normální, běžný stav. Na stovkách provozovaných serverů v minulém jobu jsem statistiky nevedl, nemá to smysl. Logy ssh jsou jako ventilátor. Některé boty odradí klíče, potom už to dál nezkoušejí, jiné testujou slovník i proti přihlášení pouze klíčem.

    Fail2ban je možná hezký pro statistiky ale tím jeho zajímavost tak nějak končí.
    1.6. 12:06 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

    Asi to máme každý nastaveno jinak. Jelikož neprovozuji honeypot, preferuji směšné hodnoty. Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.

    Jen pro srovnání, tohle je aktuální stav ze dvou veřejně přístupných strojů, přes které studenti lezou do laborek. Ovšem v pátek byly otočené, takže nevím banovaných adres bylo na počítadle předtím:

    • 77 subjektů co to zkoušelo přes ssh (315)
    • 112 subjektů co to zkoušelo přes ssh (447)

    Na každém z nich to vychází zhruba na 100–150 IP adres za den. Tisíce IP adres bylo celkově zabanováno akorát na stroji, ze kterého jede virtualizační platforma. Celkem 713264. Aktuálně jsou na něm banované pouze 3 IP adresy. A ten stroj má uptime 605 dní. Takže to vychází v průměru na 1178 blokovaných IP adres na den. V reálu je to ale spíš tak, že útoky chodí ve vlnách. Protože jsme měli za poslední půlrok hned několik útoků, při kterých se podařilo udělat DDOS na starý hlavní firewall, který už je nahrazen novým.

    Heron avatar 1.6. 13:26 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Já taky neprovozuju honeypot. Tohle jsou prostě čísla z reálného provozu na serverech poskytující služby do Internetu. Fakt se není čemu divit.
    Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.
    Ten stroj samotný poskytuje službu pro lidi z internetu.
    V reálu je to ale spíš tak, že útoky chodí ve vlnách.
    To taky, největší vlny na webservery jsme měli z číny, ale to nejspíš nebyl ani útok ani pokus od DDOS (i když se to skoro povedlo), ale obsah těch spojení vykazoval znaky připojení se na proxy a vysvětluji si to tak, že někdo prostě špatně nastavil konfig pro proxy server (možná překlep v ip) a klienti se připojovali k nám. Protože všechna spojení byla jak před kopírák žádost o proxy. Náš stroj pochopitelně proxy neposkytoval a všechno končilo na 404.

    Proto tomu taky neříkám útoky.

    1.6. 12:10 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Je samozřejmě také rozdíl, jak přistupovat k těm co lezou z netu. Na svém serveru si mohu dovolit posílat nezvané hosty dalekého východu do džá rovnou, takže není důvod je banovat na úrovni IP.
    1.6. 12:18 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Mimochodem, já to z blogpostu nakonec vypustil, ale byl tam původně ještě odstavec o tom, jak jsem při nedávném upgrade nechal svůj konfigurák přeplácnout distribučním a jaký to pak mělo vliv výkon stroje, mailserver, webový server atp.
    1.6. 14:05 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Chápu, že zápisek v blogu je kompletně o něčem jiném
    Zápisek je o tom, že soudruh komunista kapicabot pár dní zpátky někoho kritizoval za údajnou potřebu si kopnout, načež sám pocítil potřebu si kopnout, a tak to udělal.
    Quando omni flunkus moritati
    1.6. 21:28 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Přestaň se litovat ubožáku. Nikdo do tebe nekope. Ztrapňuješ se tady sám.
    2.6. 00:25 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Neřekl bych, soudruhu komunisto kapicabote, že se tady ztrapňuji. A nějak nevidím, že bych někde zmiňoval, že někdo kope do mě...
    Quando omni flunkus moritati
    1.6. 15:44 Peter Golis | skóre: 62 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Čiže prechod na IPv6 s vo východzom stave vynútenými Privacy Extensions zabezpečí poriadok medzi užívateľmi. Už chápem. Užívatelia si budú meniť každú chvíľu svoje adresy, a to zabezpečí že nebude treba dohľadávať vinníka.

    To dáva znova ten istý zmysel, a rád by som vedel kam ho to dáva.

    Mám rád tvoj humor, kľudne pokračuj. Možno napíšeš aj o tom, ako IPv6 preprogramovalo 5G na šírenie vakcíny proti Covidu.
    1.6. 21:25 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Proč ze sebe děláš blbce? Tebe to baví? Problém s použitím fail2ban je v případě, že někdo dělá neplechu přes NAT a fail2ban sekne přístup všem co na něm visí. Ti co jedou IPv6 obvykle přes NAT nelezou.
    Heron avatar 1.6. 21:31 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Pointa, alespoň jak já jsem ji pochopil, byla v tom, jak chceš ty IPv6 blokovat? Pokud blokuješ jednotlivé adresy, tak ti do toho hodí vidle privacy extensions. Pokud budeš blokovat /64, /56, /48 tak tím můžeš zablokovat více uživatelů.

    Tj při blokaci /128 ti za chvíli dojde místo na disku a při /48 je v podstatě stejný efekt, jako blokovat někoho za ipv4 natem.
    1.6. 21:45 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Realita je taková, že podíl IPv6 adres je asi tak 10%.

    Měl jsem to štěstí, že se mi podařilo odchytit takový útok přímo na mém notebooku. Není to tak, že by se útočník cpal na ten stroj ihned poté co najde díru. Naopak. Počká a pak použije adresu, která nebyla delší dobu použitá, aby to nebylo nápadné.

    Jinak proč boty blokuju jsem už napsal. Číňanům se vrací paušálně kód 304, takže ty nijak speciálně řešit nepotřebuji. Ti otravovali z 60%.
    Heron avatar 1.6. 22:00 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Měl jsem to štěstí, že se mi podařilo odchytit takový útok přímo na mém notebooku. Není to tak, že by se útočník cpal na ten stroj ihned poté co najde díru. Naopak. Počká a pak použije adresu, která nebyla delší dobu použitá, aby to nebylo nápadné.

    Jakou díru? Mluvíš o útočníku člověku? Protože automaty fungujou jinak.

    Automat zkouší slovník na ssh nebo známé problémy webu a snaží sám sebe zreplikovat. Člověk jde většinou za určitým cílem.
    2.6. 00:25 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Automaty hledají jenom díry. Za vlastním útokem už bývá člověk. Možná ne vždy, ale v tomto případě jo. Byla to v podstatě náhoda. Než jsem ho zaříznul, tak jsem chvíli sledoval o co se snaží. V podstatě nic napáchat nemohl, jenom se snažil napočítat nějaké shitcoiny. A díky tomu jsem na to i přišel. Hučel větrák.

    Kdyby to bylo na nějakém serveru, tak by si toho nikdo ani nevšiml.
    2.6. 02:53 Peter Golis | skóre: 62 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Tak to gratulujem k úspechu. Ale automaty už veľa rokov využívajú distribuované skeny a aj hotové automatizované nástroje na hackovanie. A blokovať botnet schovaný za IPv6 privacy extension musí byť naozaj jednoduché.
    Heron avatar 2.6. 07:09 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Aha, tak v tom případě se nemáme dál moc o čem bavit. Pokud se ty jako admin chceš bavit o tom, že fail2ban ti nějak zázračně pomůže zakrýt chybu, díky které se útočník dostane až na stroj a spustí si tam těžení krypto, tak tady diskuse končí.
    Hučel větrák.

    Super monitoring.
    Kdyby to bylo na nějakém serveru, tak by si toho nikdo ani nevšiml.

    Super monitoring.
    2.6. 08:16 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Doposud jsem tě měl za racionálního, normálně myslícího člověka. Změnilo se něco?

    Jasně jsem uvedl, že to byl notebook. A dokonce jsem to tady v minulosti už jednou zmiňoval.

    Opakovaně jsem zdůraznil, že síťový DDOS pro mne nepředstavuje problém. Proč tuhle informaci vytrvale ignoruješ? To ti nedochází, že služby lze znepřístupnit mnohem efektivněji normálními dotazy?

    Ty školní servery jsou na 10G sítí a případný paketový storm odchytí hlavní switch, takže to není typ útoku co by mne zajímal.
    Heron avatar 2.6. 08:46 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Jasně jsem uvedl, že to byl notebook.
    A ono to na situaci něco mění?
    To ti nedochází, že služby lze znepřístupnit mnohem efektivněji normálními dotazy?
    To mi samozřejmě dochází, ale ono taky záleží co ten stroj dělá, má dělat, jak je nastaven a zda má k tomu dostatek prostředků. A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde.

    A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace stroje. Úplně obecně řečeno, ten stroj by měl mít tolik prostředků, aby levou zadní stíhal provoz, který mu tam může přijít. Tj omezovat by ho měla linka, nikoliv výkon.

    Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání, tak je potřeba mít nějaký systém fronty, do které spadne uživatelský požadavek a nějak se pak uživatelům oznámí výsledek. Takto to řeší třeba i google, export dat není na počkání, ale za pár hodin ti přijde email, s odkazem na stažení. A tak dále.

    Jinými slovy, správně nastavený server nemá jít přetížit běžnými požadavky. Ano, nebudu si hrát na supermana, někdy je to těžké nastavit a pracuje se s reálnými lidmi, kteří jsou schopni udělat prasárnu typy (select count(*) from (select * from table order by col)) nad 4GB tabulkou, takže dotaz pokaždé vytvoří 4GB temporary table jen proto, aby spočítal počet záznamů. Takového vývojáře je potřeba okamžitě střelit do hlavy.

    A z mojí zkušenosti plyne, že jednotka dočasnosti je jeden furt. Fail2Ban se může jevit jak rychlé fajn řešení nějakého problému, ale tím se většinou jenom odloží skutečné řešení nějakého problému. Jak jde čas, tak je to jen horší, protože potom služba nestíhá ani za blokátorem.
    2.6. 09:18 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde.
    Může, ale většinou nemá. Obzvláště v situaci kdy ji platíš.

    Všechno je to o vyvážení zátěže. Pro mne je fail2ban především represivní nástroj na ty co porušují pravidla a zkoušejí různé brykule.

    Primární aplikací na mém soukromém serveru je wiki a moc dobře vím jaké má slabiny, které principiálně na aplikační úrovni moc řešit nejdou. Kupř. taková prkotina - výpis všech souborů. Stačí pár klientů co to zavolá se správnými parametry ve stejnou chvíli a máš vystaráno. Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele. No a ty boty se to pokoušejí různým způsobem obejít. A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.
    Heron avatar 2.6. 11:09 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele.
    Ano, tak se to běžně dělá.
    No a ty boty se to pokoušejí různým způsobem obejít.
    Ale to ti přece může být jedno, boti dostávají neustále http 401 (nebo něco podobného), ten server by o tom z hlediska výkonu ani neměl vědět. To, že na všechny loginy vystavené do internetu se neustále něco zkouší přihlašovat, je běžná věc.
    A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.
    Pokud je to jen odesílající mailserver pro tu jednu místní službu, tak jak se k němu mohou hlásit klienti z internetu? To nedává smysl.
    2.6. 12:12 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Vemu to odzadu.

    Je to mailserver pro jednu místní službu, který některé aliasy redirektuje na jiné mailové adresy. I jiný mailserver je klient. Ovšem takový klient má obvykle i reverzní záznam. Maily ostatních klientů se rovnou zahazují. Ale aby opakovaně neotravovaly, zároveň je sekne fail2ban.

    Nemám typickou wiki a ne všechny boty považuji za škodlivé. Kupř. existuje velice jednoduchý způsob, jakým lze wiki zaměstnat až k naprosté nepoužitelnosti. Nebudu ho tu ventilovat, protože se tu vyskytují existence, které by toho byly schopny zneužít. U mé wiki by to mohl udělat leda nějaký poblázněný uživatel, ovšem u wiki s povoleným anonymním přístupem to může udělat každý. Pochopitelně se provozovatelé takových wiki pokoušejí řešit. Podle mne ale tím nejpitomějším způsobem.

    Minulý rok se na mne obrátil s prosbou o pomoc kluk z Finska, kterému jsem v rámci možností vyhověl. Chtěl pomoct s rozběháním Wikibase a měl hrozný problém pochopit, že se tím výkon té jeho wiki nezlepší. Zřejmě mne doporučil nějakému svému kámošovi, ale toho už jsem rovnou odmítnul. A zrovna minulý týden se na mne obrátil s podobnou představou pro změnu týpek z Francie. Důvod proč se tím nehodlám zabývat je prostý – je to závislé na rozšíření Scribunto (Lua). Jsem zastánce pure wiki.
    2.6. 09:32 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace stroje
    Tak to pozor, tohle není pravda. Konfigurace stroje může být naprosto v pořádku, ale není to nic platné, když je služba postavená na pomalé doprasené aplikaci (kousek vedle v diskuzi se debatuje wordpress, což v kombinaci se "správnými" pluginy je přesně takový případ.)
    Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání...
    S tím (a dalšími odstavci) už samozřejmě nelze než souhlasit. Ale moc vývojářů to neumí.
    Quando omni flunkus moritati
    2.6. 09:39 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Doposud jsem tě měl za racionálního, normálně myslícího člověka. Změnilo se něco?
    Samozřejmě, zcela v souladu s vaším modelem, změnilo se to, že se Heron dopustil nejvyššího zločinu: nesouhlasí s názorem soudruha komunisty kapicabota.
    Quando omni flunkus moritati
    2.6. 18:18 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Nějak ti uniklo, že přes rozdílné názory debata s Heronem nejde na tvou dětinskou podúroveň. Na rozdíl od tebe totiž není magor, který by se vyhýbal psychiatrické péči a svůj mindrák z osobního selhání si kompenzoval vulgárním napadáním osoby, která o tom taktně nemlčí.
    2.6. 21:52 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Co mi neuniklo, soudruhu komunisto kapicabote, i když chápu, že asi nemáte dostatek paměti, abyste si to ještě pamatoval, tak jste i v diskuzi s ním sklouzl k urážkám, jakmile s vámi nesouhlasil. Vulgární napadání osob a možná i ten mindrák je vaše parketa, ale to, že přisuzujete tento i další svoje nedostatky na ostatní, to už u vás nikoho nepřekvapí.
    Quando omni flunkus moritati
    Gréta avatar 1.6. 21:49 Gréta | skóre: 32 | blog: Grétin blogísek | Stockholm
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít

    tak todleto je jakože to naprudko :D ;D

    v každým afroamerickým otvoru kterej se zhroutí mužou bejt skovaný semínka uplně novýho vesmíru hele 🕳 🕳
    1.6. 10:17 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Zdá se, že soudruh komunista kapicabot ke svému portfoliu přidal narcismus, teď už se považuje za tak důležitého, aby v internetu zcela běžné a plošné útoky považoval za něco, co je spojeno s jeho osobou.
    Quando omni flunkus moritati
    1.6. 12:14 Radovaan
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Můžeš laskavě přestat na kapustu posílat tisíce robotů jako nějakej skynet? Nevidíš že z toho má další psychózu?
    1.6. 12:27 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Shoda okolností, není totéž co potvrzený fakt. A i kdyby, alespoň vím, že ten můj filtr pro fail2ban funguje.
    1.6. 12:49 Radovaan
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Tak se potom rozčiluj na Miriam, že tě označuje za pedofila, když tady rozhazuješ obvinění a la chytrá horákyně. JuST aSkIng QUeStIOns. Ty jsi taková žumpa, to snad neni možný.
    1.6. 16:50 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Sám jsi a na druhé to svádíš. Konec konců si je toho Bourek vědom, že chová jako kokot. Jenže tím jak furt vyšiluje se ten jeho stav nezlepší. A ty si dej bacha ať nedopadneš stejně, už teď jsi v tom hnoji až po nosní díry.
    2.6. 00:24 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Buďte v klidu, soudruhu komunisto kapicabote, moje chování je oproti tomu vašemu na velmi dobré úrovni. Narozdíl od vás tady nikoho nenavádím k tomu klást životu nebezpečné pasti na lidi, ani nepropaguji psychopatické názory o tom, jak mi nevadí, když někdo zemře na nemoc. Ani tu lidem nenadávám za odlišné názory. A v tom výčtu by se dalo pokračovat.
    Quando omni flunkus moritati
    2.6. 08:27 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Kdyby to co píšeš bylo aspoň vtipné. Jsi jak malé děcko. Ale fajn že jsi připoměl, co bylo tvým kuřím okem.

    Ale můžeš si gratulovat. Už opravdu nevím o nikom, kdo by sem ještě chodil něco psát pod vlastní identitou, mimo mne a Maxe.
    2.6. 09:37 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Soudruhu komunisto kapicabote, tady vám ta umělá inteligence úplně nezafungovala, protože gratulace jsou na místě, když se někdo o něco snažil a povedlo se mu to. V tom, o čem - nejspíš, ono to není úplně poznat - mluvíte, není naplněno ani jedno.
    Quando omni flunkus moritati
    2.6. 09:57 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Z toho mektání v diskuzích už ti hráblo natolik, že se ten tvůj bábol nedá ani dešifrovat.
    2.6. 11:21 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Bohužel, soudruhu komunisto kapicabote, to je dáno tím, že holt nejste nejnovější model a i hardware vám byl nadělen z toho, co bylo k dispozici, nikoliv z toho, co je špička v oboru
    Quando omni flunkus moritati
    2.6. 12:14 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    To je možné. Ale pořád funguje líp než ten tvůj.
    2.6. 12:57 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    To se vám, soudruhu komunisto kapicabote, samozřejmě jako umělé inteligenci může zdát, ale to je prostě tím, že na lidi nemáte srovnání.
    Quando omni flunkus moritati
    2.6. 14:50 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Ty jako srovnánací etalon rozhodně neposloužíš.
    2.6. 14:51 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Ale neboj. Pokud někdo podnikne srovnávací studii IQ houpacích koňů, dám mu na tebe doporučení.
    2.6. 14:56 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    To od vás, soudruhu komunisto kapicabote, nebude vůbec hezké, neboť takovému člověku nebudu schopen v takové záležitosti nijak pomoci ani poradit. Na druhou stranu udělat něco, čím někomu škodíte, k vám patří, takže žádné překvapení.
    Quando omni flunkus moritati
    2.6. 15:41 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Tobě Bourku, by takové srovnání mohlo akorát přidat na sebevědomí. Tak jakápak škoda.
    2.6. 21:54 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    To vám, soudruhu komunisto kapicabote, nemá cenu vysvětlovat. Vzhledem k tomu, že tady delší dobu vykazujete znaky toho, že jste psychopat, je zbytečné vám vysvětlovat, jak jiným škodíte. Není ve vašich možnostech to pochopit.
    Quando omni flunkus moritati
    JiK avatar 1.6. 15:52 JiK | skóre: 10 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    nechcete se nekdo rozepsat o tom jak to spravne nakonfigurovat?
    1.6. 16:39 j
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    A to se da? Totiz jak uz zminil Heron, desitky tisic pokusu o login pripadne o otevreni jak reseto deravy administrace wp ... jsou na internetu naprosto normalni.

    Pricemz tim, ze se to jakoze budes snazit "resit" se nakonec DOSnes sam. Naprosto bezne muzes mit pak 100k+ pravidel. A to uz jen tak nejaka krabka neudejcha.

    Takze realita je spis ta, ze je naopak mnohem efektivnejsi omezit logovani na naprosty minimum, ostatne to ze se nekdo snazil a nepovedlo se te vlastne vubec nezajima. Tebe to zacne zajimat az kdyz se povede.

    Pokud se pak budem bavit o realne vazne minenym utoku, tak f2b si ani nevsimne, ze se neco deje. Typicky totiz banuje opakovany pokusy z jedny IP, ale na ty vubec nedojde.

    Ale sou mezi nami i taci trotli, ktery kvuli scanu portu podavaji trestni oznameni ... to asi tak stejny, jako kdybys nekoho zaloval, ze ti vzal za kliku.

    Co cas od casu delam je to, ze kdyz me nekdo vazne sere, hodim na blacklist cely Ccko. Rucne. Uz se mi takhle parkrat i nekdo ozval s tim, ze ale oni snama komunikovat chteji, tak sem jim rek, at si nejdriv poresej ten bordel ve svy siti. Kupodivu, docela to funguje.

    ---

    Dete s tim guuglem dopice!
    1.6. 16:51 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Skenování portů mě je ukradené.

    Klasický scénář je ten, že si to nejdřív zkusí oťuknout, pak zkoušejí co jim projde no a ve chvíli kdy nabydou dojmu, že před sebou mají snadnou kořist to zkusí.
    Pricemz tim, ze se to jakoze budes snazit "resit" se nakonec DOSnes sam. Naprosto bezne muzes mit pak 100k+ pravidel. A to uz jen tak nejaka krabka neudejcha.
    Tak v prvé řadě je asi na místě, aby si každý uvědomil, že server není firewall, ani krabička za 5 litrů. Ten stroj,
    Co cas od casu delam je to, ze kdyz me nekdo vazne sere, hodim na blacklist cely Ccko.
    Jo. Taky jsem to tak pro zábavu dělal. Ale z prakticky se osvědčila jiná kombinace.
    1.6. 18:04 j
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Eh ...lol ...

    "...že server není firewall, ani krabička za 5 litrů."

    Vis, kdyz uz, tak se tohle rozhodne neresi na serveru, kde ta sluzba bezi, a neresi se to na nem prave proto, ze se od nej kupodivu chce, aby poskytoval tu sluzbu ktera na nem bezi a ne aby se zaobiral vyhodnocovanim statisicu pravidel jestli jako muze nebo nemuze.

    A protoze netusis o cem pises, tak ver tomu, ze 100k pravidel polozi libovolnej server. Ve skutecnosti se DOSnes mozna uz pri 10k. Bud ti dojde ramka nebo cpu.

    Proto se to resi na krabkach, ktery jsou primo na to navrzeny a rozhodne se to neresi tak, ze by se blokovaly jednotlivy IPcka, coz je presne to, co f2b dela.

    Presne jak tu zaznelo, f2b si muzes provozovat doma na pude, nebo nekde v garazi, kde je celkovej flow +- 00 prd. Kdyz jen kouknu na odmitnuty pripojeni na mailserveru, tak je to neco kolem 15 000 denne. Mam je vsechny zabanovat? Aby to melo smysl aspon na mesic? Takze kdyby to kazdej zkusil jednou, budu mit 450 000 pravidel JEN na maily? lol ...

    ---

    Dete s tim guuglem dopice!
    1.6. 18:45 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Víš vtip je v tom, zvolit optimální řešení. Fakt si mě rozesmál s těmi počty. Proč bych měl mít několik desítek tisíc pravidel, když mi jich stačí pět šest? Pokud to jinak neumíš, tak asi něco děláš blbě. Provoz o jakém hovoříš nemáme snad ani na tom hlavním firewalu na Karláku. Ale to není můj rank.

    Jedno pravidlo se ovšem potvrzuje beze zbytku. S jídlem roste chuť. A pokud útočníky neklepneš přes prsty včas, jejich kreativita se zvyšuje.
    1.6. 21:03 j
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Jasne, takze jen potvrzujes, ze tu blabolis, a netusi o cem.

    Zvladas scitat? Zjevne nikoli ...

    "28+15+29+1+89 subjektů co to zkoušelo přes ssh"

    Chmm to mame ... nejakych +- 160 pravidel ... coz je naprosto k smichu, to bych 10x vic vygeneroval i doma.

    Provoz o jakym mluvim je pidifirma, kdyz se podivam na vetsi, bude tam radove vic. Takovy ssh tamtez dela taky cca 10-15k pokusu denne. Pripadne muzu jeste nadhodit RDPcko* ... nejakych 8k denne.

    A ne, nezatezuje to ani zdaleka dostupnou konektivitu, realne to je na urovni sumu pod 1%. Kdyby to chtel nekdo dosovat pres to ze vyzere linku nebo pps, musel by jit o par radu vejs.

    *Tohle je vubec technologie ala M$ (jak jinak, kdyz tam nikdo jinej nez curaci nedela). Pripojeni to totiz zahajuje tak, ze to ten stejnej paket posle ... 2x. To asi kdyby jeden cestou zabloudil.

    ---

    Dete s tim guuglem dopice!

    1.6. 21:19 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Možná ta tvá pidifirma má data která jsou pro někoho moc zajímavé. Spravoval jsem 5 let servery pro jednu certifikační autoritu a ty počty blokovaných adres byly plus mínus stejné jako mívám teď.
    Heron avatar 1.6. 16:55 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Asi tak. Pokud se někdo cítí ohrožen slovníkovými útoky nebo útoky na roky známé a opatchované chyby, tak by se spíš měl zamyslet nad způsobem své administrace serverů. On i ten nenáviděný Wordpress umí už já nevím 7+ let (v rychlosti jsem našel email z roku 2014) automatické updaty, takže vždycky jen přijde email z webů, že je to aktualizaované. Ideální příležitost se tam přihlásit a pořešit pluginy. Takže vlastně jediné co zbývá jsou slabá hesla tam, kde se přihlašuje hesly.

    A potom samozřejmě mnohem sofistikovanější útoky na 0 day zranitelnosti apod.
    1.6. 17:02 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Pak se ale nediv, že máš 8 tisíc botů za odpoledne.
    Heron avatar 1.6. 17:33 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Já se nedivím. Já to uváděl jen jako statistiku.
    1.6. 17:53 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Fajn. Tak já mám na všech strojích čísla řádově nižší. Čím si to vysvětluješ?
    Heron avatar 1.6. 18:21 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Proč bych si to měl vůbec vysvětlovat? Nehledě na to, že nemám údaje o tom, na kterých strojích to sbíráš, nevím, jakou ty stroje mají roli, jak dlouho běží (ta jimi poskytovaná služba) apod. A dokonce to ani nevím o tom stroji, kde jsem dělal tu statistiku. Chtěli analýzu logů, dostali ji. Nazdar.

    Diskuse na této úrovni nemá žádný smysl.

    Jestli tobě dává smysl a něco ti přináší blokování IP na základě nějakých tebou definovaných pravidel, tak fajn. Je to tvoje věc.

    Mě to smysl nedává, nedělám věci, které nedávají smysl, neinstaluju na server něco, co tam nemusí být apod. Informace o tom, že se někdo pokusil připojit na neexistující službu nebo do existující služby poslal něco, mě fakt nechává chladným.
    1.6. 18:52 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Ale já ti napsal na jakých strojích to sbírám. Jsou to stroje, které fungují jako ssh proxy do laborek. Veřejná IPv4 adresa a přihlášení heslem povoleno. A běží takhle už víc jak rok. Ten jeden dokonce už několik let. Samozřejmě s občasným restartem. Přeci jenom jsou to virtuální disklessy, kterým udělá reboot jen dobře. Jinak je to stejný systém co laborkách. Moje know-how.
    Heron avatar 1.6. 19:12 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Potom by mě moc zajímalo, co na ssh proxy dělá mailserver.

    A jako co vlastně má být výsledkem debaty? Budeme porovnávat neporovnatelné stroje a měřit na nich nic neříkající metriku?
    1.6. 21:14 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Porovnával jsem stroje, na kterých čas od času na ten fail2ban kouknu. Jasně jsem uváděl, že jde o jiné stroje, v jiné síti, s jiným účelem ale cca stejným počtem blokovaných IP adres.

    Takže metrika je taková, že vy se oháníte tisícovkama blokovaných IP adres, zatím co u mne to nepřekračuje řád stovek. Tudíž mne zajímá čím to. Je to tak těžké pochopit?
    Heron avatar 1.6. 21:26 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    se oháníte tisícovkama blokovaných IP adres
    Ne, já žádné IP neblokuju a nikde jsem to taky nepsal. Jen jsem uváděl statistiky z logů.
    1.6. 21:33 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    V tom případě srovnáváš nesrovnatelné. Moje zkušenost je taková, že jakmile nasadíš fail2ban zájem botů prudce klesá. No a to je důvod proč ho používám.
    Heron avatar 1.6. 21:38 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Já srovnávám nesrovnatelné? Nebyl jsi to náhodou ty, kdo po mě chtěl analýzu, proč je to tak rozdílné? Já jen celou dobu uvádím statistiku. Nic víc.
    No a to je důvod proč ho používám.

    Jen pro to, abys měl menší čísla v nějaké metrice?
    1.6. 21:48 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Jen pro zajímavost. Co myslíš že takový bot dělá?
    Heron avatar 1.6. 21:57 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    To záleží jakej a co je jeho cílem. Na špatně zabezpečeném webserveru, pokud se podaří protlačit tam php, tak většinou generuje spam (protože posílání emailů je většinou phpku povoleno).

    Pokud se mu podaří získat uživatele, tak se snaží útočit na další stroje v síti a rozmnožovat se. Potom záleží, co je jeho náplní práce. Může být použit jako DDOS nástroj, těžení krypta, klasickej spam apod.
    1.6. 22:04 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    No tak vidíš. Já blokuji hlavně ty, co se pokouší o DDOS a ty, co se pokouší zneužít mailserver.
    Heron avatar 1.6. 22:13 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Co mám vidět?
    Já blokuji hlavně ty, co se pokouší o DDOS
    Pokud by to byl skutečný DDOS, tak ti zahltí linku rychleji než server.
    ty, co se pokouší zneužít mailserver
    Proč? Předpokládám, že ten server má alespoň základní zabezpečení, není to open relay a odesílat emaily prostřednictvím toho serveru mohou pouze přihlášení uživatelé. Jinými slovy, ten server bez znalosti hesla uživatele nikdo nemůže zneužít a pokud ano, tak víš který účet je kompromitovaný.

    Jako mě adminování mailserveru nikdy nebavilo, ale nasadit fail2ban na jeden z těch mailserverů s 50 doménamy, co jsem spravoval, by velmi rychle zablokovalo přístup z ČR a zákazníci by mi velmi poděkovali. A ano, jednou za x let zavirovaný komp nějakého usera vesele rozesílal prostřednictvím jeho účtu spam (většinou teda přes napadený outlook), tak jej bylo nutné zablokovat. Ale ne vypnout celý server, nebo zabanovat půlku republiky. Server musí běžet.
    1.6. 22:34 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    DDOS není jenom záležitost sítě. Měl jsem za to že to víš.
    Heron avatar 1.6. 22:44 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    A ty packety se tam dostanou jak? Poštovními holuby? I když všechny ddos packety budeš na daném serveru zahazovat, tak ti zahltí linku a normální user se tam stejně nedostane - ddos tím bude úspěšný. DDOS útok je proto nutné řešit nikoliv až na koncovém serveru, ale co nejblíže ke vstupu do sítě, kde se dá očekávat silnější linka, než má ten koncový server. Jinak to nemá smysl.
    2.6. 00:13 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Co do toho pořád taháš síť? Přečti si co je DDOS. Jsou prostě boty, které jenom nutí server makat a tím ho obírají o RAM, výpočetní a I/O výkon. Chápu že to nakrásně nemusí být jejich primární zájem. Ale proč bych měl mrhat výkonem na roboty, které si kamsi kešují to co se jim vrací, na úkor uživatelů? U fyzického stroje, který má mraky jader a hafec RAM je mi to jedno. Ale u virtuálu, kde mám limitované prostředky ne.
    2.6. 07:29 j
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Ty fakt vubec nechapes o cem blabolis vid? Jak ti tu Heron naznacil, a tys to zjevne vubec nepochopil, tak kazdej server unese MNOHEM vetsi provoz, nez unese typicka linka, kterou je pripojenej.

    Pro blbe (tebe) pokud budu mit Gbit (a to vetsina serveru ani zdaleka nema) tak neexistuje zpusob, jak by nekdo moh DOSnout ten server. Jednoduse proto, ze na to Gbit nestaci.

    Zato existuje velice snadnej a trivialni zpusob, jak DOSnout libovolnou linku, a na to je ti jakykoli zahazovani cehokoli uplne khovnu, protoze toho prichoziho provozu se tim nijak nezbavis.

    Stejne tak tvuj slepici mozek nedokaze pochopit, ze je radove levnejsi odmitat konexe na urovni sluzby, nez nechavat VSECHNY pakety (vcetne tech od legalnich uzivatelu) putovat pres statisice pravidel.

    ---

    Dete s tim guuglem dopice!
    2.6. 08:01 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Kdyby ses místo urážek obtěžoval přečíst hned tu první větu, tak bys pochopil, že celý ten tvůj výkřik je naprosto mimo mísu.
    2.6. 00:33 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Jen tak pro info, možná by to do diskuze mohlo vnést trochu světla - https://www.abclinuxu.cz/blog/Tomik/2021/1/kutilove-meli-pravdu/diskuse#285

    (00d64a31970fd5260ab0f29c53d87c5819e57eb75e968837deca08e454776f15)
    Quando omni flunkus moritati
    1.6. 18:18 j
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    S WP si muzes hodit minci, ze bud ho nechas deravej a +- jakoze funkcni, nebo ho budes patchovat, a neustale resit, ze to ci ono (predevsim ty pluginy) nefunguje. Od nekolika takovych sem s nesmirnym potesenim dal ruce pryc.

    Jinak naprosto chapu pokusy na znamy bugy. Za ten pokus nic nedas, a ono se dycinky neco urodi. A nemusis ani nic hackovat, pust si scan na sambu, a zcela jiste najdes.

    BTW: minuta ... nez prijde prvni scan, a do 5 minut, nez prijde prvni pokus o login na sshcko na nedefaulnim portu (taky to nedelam rad, vetsinou to vic veci rozbije nez vyresi).

    ---

    Dete s tim guuglem dopice!
    Heron avatar 1.6. 18:33 Heron | skóre: 52 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    S WP si muzes hodit minci, ze bud ho nechas deravej a +- jakoze funkcni, nebo ho budes patchovat, a neustale resit, ze to ci ono (predevsim ty pluginy) nefunguje. Od nekolika takovych sem s nesmirnym potesenim dal ruce pryc.

    Mám svoje weby na WP už jedenáct let kontinuálně a nic se nikdy nerozbilo. Jasně, přebírat web po někom, kdo tam dá pluginy odněkud a potom je to tak křehké, že to nejde updatovat, tak to je peklo, ale vlastní udržovaný web není problém. Tím WP neobhajuju, sám jsem v přechodu na statický web, nakonec to zůstalo u schizofrenie, kdy je část WP a část statická. Časem wp dropnu taky.
    Jinak naprosto chapu pokusy na znamy bugy.

    Z hlediska útočníka určitě. Z hlediska admina ne.
    minuta ... nez prijde prvni scan, a do 5 minut, nez prijde prvni pokus o login na sshcko na nedefaulnim portu (taky to nedelam rad, vetsinou to vic veci rozbije nez vyresi).
    Někdy bych to mohl zopakovat, před lety jsme se s kolegy bavili tím, že jsme sledovali, za jak dlouho se na čerstvě nainstalovaný server se slabým heslem (a povoleným heslem v ssh) někdo připojí. Většinou do 10 minut a byl tam.
    1.6. 16:43 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    A co konkrétního bys chtěl vědět?
    1.6. 17:01 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    nechcete se nekdo rozepsat o tom jak to spravne nakonfigurovat? Váš komentář
    Aby ti to něco hlídalo, tak to musíš hlavně zapnout v /etc/fail2ban/jail.conf. Pak si musíš zkontrolovat, jestli to skutečně sedí na tom co chceš hlídat. Rozhodnout se jak budeš velký dobrák, zvolit co budeš ještě akceptovat a co a na jak dlouho chceš banovat.

    Pak už záleží jen na tobě co vyhodnotíš jako škodlivou činnost. V adresáři /etc/fail2ban/filter.d/ jsou nějaké předpřipravené věci. A podle nich si můžeš udělat filtr vlastní, pokud někdo zkouší nějaké brykule, které ještě nebyly podchyceny. Chce to něco málo vědět o regulárních výrazech, a to je všechno.

    Fail2ban není nic jiného než nadstavba nad logy, která automatizuje to co bys jinak řešil ručně.
    2.6. 21:50 alfonz
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    V minulosti jsem fail2ban používal a přemýšlel jsem, že je to ok ochrana pro pro SSH. Nakonec jsem začal používat sshuttle a nastavil pouze vybrané IP adresy pro ssh.

    Pro webservery je to možná ok na přihlášení.
    9.6. 12:01 _
    Rozbalit Rozbalit vše Re: Fail2ban, stojí za to mít
    Zas ti na internetu někdo ubližuje?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.