kh-recidive

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
goldene-zeiten
Posts: 479
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

kh-recidive

Post by goldene-zeiten »

Hallo zusammen,

wie einige hier mitbekommen haben, musste ich mein System mit Ubuntu 24.04 neu aufsetzen, weil das Update von 22.04 fehlgeschlagen ist. Seitdem ist mir aufgefallen, dass bei Fail2Ban nicht mehr die Einträge von kh-recidive anwachsen, also es immer nur den Eintrag 0 bei kh-recidive gibt. Das kann doch an und für sich gar nicht sein, wenns zuvor anders war? Oder musste ich da noch einmal irgendwas aktivieren?

Ich weiß es leider nicht mehr.

Liebe Grüße von

Björn
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Tobi
Community Moderator
Posts: 3051
Joined: Thu 5. Jan 2017, 13:24

Re: kh-recidive

Post by Tobi »

Guggst du hier und benutze bitte die Suche!

viewtopic.php?p=50403#p50403
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
goldene-zeiten
Posts: 479
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: kh-recidive

Post by goldene-zeiten »

Den Beitrag kenne ich von mir. Ist ja noch nicht so lange her. Aber der angefragte Filter für Widerholungstäter wird trotzdem nicht bedient.
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Alexander
Keyweb AG
Posts: 4163
Joined: Wed 20. Jan 2016, 02:23

Re: kh-recidive

Post by Alexander »

In den Standardeinstellungen muss ein anderer Filter 4 mal eine IP sperren innerhalb von 24 Stunden, bis die IP übers recidive geblockt wird.
Ich vermute das ist bei dir einfach noch nicht der Fall gewesen.

Der gemeine Bot aus dem normalen Hintergrundrauschen probiert seine 5 Standardpasswörter aus, merkt das er gesperrt wird und zieht weiter. Der versucht es nicht den ganzen Tag über mit der selben IP nur bei deinem Server, dafür hat er viel zu viele andere Server-IPs, die er ausprobieren kann.

Kannst auch auch den maxretry der recidive Regel runterstellen, dann sollte er häufiger anschlagen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
goldene-zeiten
Posts: 479
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: kh-recidive

Post by goldene-zeiten »

Hallo Alexander,

vielen lieben Dank für deine tolle und ausführliche Erklärung. ich sehe nur, dass eben sehr viele SSH-Versuche stattfinden - also überproportional repräsentiert sind. Wenn es im jail.d die keyhelp.local ist, dann habe ich die Eintragung wohl richtig gemacht?

--
[kh-recidive]
enabled = true
filter = recidive
logpath = /var/log/fail2ban.log
action = iptables-allports[name=recidive]
maxretry = 3
bantime = 1w
findtime = 1d
--

Nachteil ist dann wohl nur, dass beim nächsten Update die Änderung (vorher stand maxretry = 4) wieder zurück gesetzt wird?

Liebe Grüße von

Hahni
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Fezzi
Posts: 182
Joined: Wed 12. Dec 2018, 04:04

Re: kh-recidive

Post by Fezzi »

goldene-zeiten wrote: Thu 7. Nov 2024, 21:25 ......

Nachteil ist dann wohl nur, dass beim nächsten Update die Änderung (vorher stand maxretry = 4) wieder zurück gesetzt wird?

Liebe Grüße von

Hahni
Mach Dir eine eigene jail.local unter /etc/fail2ban/jail.d/ dann ist das auch Update sicher
Gruss

Fezzi

Everyone can do something, no one can do everything.
goldene-zeiten
Posts: 479
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: kh-recidive

Post by goldene-zeiten »

Dann müsste ich doch aber die Regel von keyhelp.local in meine eigene Config-Datei übernehmen? Oder eine zweite anlegen? Im ersten Fall würde die ja dann beim Update auch wieder angelegt und es würden wieder zwei existieren?!?
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
tab-kh
Posts: 527
Joined: Thu 22. Apr 2021, 23:06

Re: kh-recidive

Post by tab-kh »

goldene-zeiten wrote: Fri 8. Nov 2024, 11:58 Dann müsste ich doch aber die Regel von keyhelp.local in meine eigene Config-Datei übernehmen? Oder eine zweite anlegen? Im ersten Fall würde die ja dann beim Update auch wieder angelegt und es würden wieder zwei existieren?!?
Die keyhelp.local sollte natürlich bestehen bleiben. Aber du kannst im selben Verzeichnis (etc/fail2ban/jail.d/) zum Beispiel zusätzlich eine Datei "mykeyhelp.local" anlegen und darin alle Änderungen gegenüber der keyhelp.local definieren. Der Dateiname ist weitgehend egal, muss aber lexikalisch nach "keyhelp.local" kommen, da die .local Dateien in diesem Verzeichnis - wie allgemein üblich - in dieser Reihenfolge eingelesen und bearbeitet werden. Hiesse deine Datei also aaa.local, dann würde zwar alles was drinsteht auch eingelesen, aber durch einen gleichen Eintrag in der keyhelp.local gleich wieder überschrieben werden. Bei einem Update von Keyhelp wird dann nur die keyhelp.local (eventuell) geändert, deine mykeyhelp.local wird sich beim Keyhelp-Update nicht ändern und die Einträge darin werden weiterhin benutzt und überschreiben die Werte aus der keyhelp.local.
goldene-zeiten
Posts: 479
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: kh-recidive

Post by goldene-zeiten »

Vielen lieben Dank für deine tolle und ausführliche Erklärung. Das hat mir sehr weitergeholfen. Die Lösung, die bestehenden Regeln von KeyHelp updatesicher zu überschreiben, ist perfekt. Den Weg werde ich gehen und mich zudem auch noch mal in die Regelwerke einarbeiten. Scheinbar ist fail2ban nicht restriktiv genug eingestellt im Standard oder die Brute-Force-Versuche sind nicht so wild, wie ich sie bewerte.
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
Post Reply