Hlavní navigace

Vlákno názorů k článku Fail2ban: konec hádání hesel na serveru od Jaromir - Pouzivam F2B asi 5 let na 4 serverech....

  • Článek je starý, nové názory již nelze přidávat.
  • 24. 6. 2013 8:54

    Jaromir (neregistrovaný)

    Pouzivam F2B asi 5 let na 4 serverech. Zkusenost neni zas tak idealni, jak to vypada F2B je postavena na scriptech, coz na jednu stranu dava moznosti pomerne velke customizace a ohnuti i jinym smerem (neni nutne jen blokovat IP, ale v podstate lze udelat cokoliv, presmerovat web atd.., reportovat na spamhaus atd..
    Na druhou stranu:
    a] svym zpusobem zatezuje system narazove.
    b] je celkem neefektivni proti probihajicimu utoku, vetsinou zareaguje az po nekolika sekundach a prakticky je nemozne toto chovani zmenit (to by zas server nedelal nic jineho nez F2B).. Takze utoky pobezi a nekteri podle reakce serveru, ktery zablokuje provoz az po nekolika sekundach, automaticky presunou utok a pokracuji z jine IP.. fakticky tak dokazou uplne vytocit CPU na 100%.
    c] bezne blokovani 5min nema zadny smysl, utok bezne pokracuje znova za 5 min.. rozsireni na 10 min znamena zas vetsi potize pro ty regulerni uzivatele, kteri se uklepnuli jen..
    d] F2B musi bezet na serveru, kde jsou ony sluzby hlidane. A je zavislej na tom, co prave napadane sluzby (a jak casto) loguji.. Zmeny v nastaveni sluzeb a jejich logovani tak maji dopad i F2B a to uz je pri cele komplexnosti reseni dost na palici vse uhlidat..
    e] na druhou stranu je prijemna doplnkova identifikace z RIPu atd..

    Take je pravda to o tom kvantu iptables recordu co tu nekdo psal uz.. dneska mi server nabiha cca 15min a z toho 14min zavadi iptables a CPU 99%.. Opticky to pri velkych uptimech neva, ale iptables se obcas udrzuji take..

    F2B neni spatny koncept (a neni jedinej existujici), ale prakticke uziti je spis kompromisem, a nelze se spolehat jen na nej rozhodne..

  • 24. 6. 2013 9:54

    Marki (neregistrovaný)

    Sluzby pre userov mozes blokovat na par minut, sluzby pre teba (ssh, rozne admin rozhrania webov) kludne na dni alebo aj tyzden. S preplnenymi iptables som za 5 rokov problem este nemal, max tam mam do 100 zaznamov kvoli smtp (blokujem na hodinu po 10 relay denied pokusoch). Ano, 99% cpu zataz pri starte fail2ban sposobuje, ale to je kvoli tomu ze pri starte parsuje vsetky aktualne logy od zaciatku.
    A ako uz niekto spomenul, porovnavat fail2ban s iptables recent je blbost. Jeden obmedzuje pocet pripojeni (dobrych aj zlych) a druhy blokuje tych, co sa nevedia prihlasit a pritom legitimne connections nijak neobmedzuje.

  • 24. 6. 2013 14:30

    jm

    Tyhle obří tabulky je vhodné zkonstruovat jen jednou, uložit pomocí iptables-save, a pak načítat přes iptables-restore, což proběhne prakticky okamžitě.

    Případně se dá použít highlevel nástroj typu Shorewall.