Hallo Matthias, Am Freitag 26 April 2013 schrieb Matthias Fehring:
um mich nicht weiter von den Skript-Blagen nerven zu lassen setze ich auf meinem Server mittlerweile fail2ban ein. Im fail2ban log behauptet dieses auch schön, dass es nervende IP-Adressen gebannt hätte. Allerdings finde ich in iptables danach keinen entsprechenden Eintrag dazu.
[...]
Hat jemand Erfahrung damit?
[...]
Filter und Actions nutze ich die im Paket enthaltenen ohne sie irgendwie verändert zu haben. Oder muss dort noch etwas angepasst werden?
Wäre mein Tipp. Ich verwende fail2ban auf einem Debian-Server und da hatte ich den Fall, dass mein saslauthd nicht durch fail2ban geschützt wurde. Geholfen hat dann ein tieferer Blick in /etc/fail2ban/filter.d und parallel dazu in die /var/log/passendes-log. Nicht richtig war die Regex, die filtern sollte. War ein Haufen Try-and-Error (ich kann halt kein Regex) und Geforsche im Internet, bis ich einen passenden String hatte. Ein Konfigurationsfehler (meistens nur Schreibfehler) in der jail.conf kann ebenfalls zu Fehlfunktionen oder Nullfunktion führen. Später habe ich dann auch an der Empfindlichkeit geschraubt, damit fail2ban schneller anschlägt. Alles wird immer noch nicht abgewehrt, aber gegen so ein Botnet mit vielen verschiedenen IPs kann fail2ban nichts ausrichten. Probier mal, ob die Regex stimmen kann. (Ich lasse mir von logwatch berichten, ob es Bans gegeben hat). Helga -- ## Technik: [http://de.opensuse.org] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org