.Bei mir lieferte sshd bisher ca 99% der insgesamt gesperrten IPs in kh-recidive. Der Anteil der IPs, die wegen mehreren unterschiedlichen Angriffen in kh-recidive landeten, war sowieso verschwindend gering. Also habe ich jetzt nur noch relativ wenige gesperrte IPs und diese in ihren jeweiligen Jails.
Damit notorische Delinquenten länger pausieren dürfen, habe ich die Jails ergänzt mit bantime.increment und bantime.multipliers. So ähnlich hatte ich das schon vor recidive.
Damit ist einerseits das System etwas entlastet und ich sehe auch in Keyhelp wieder besser, welche IP wegen was gesperrt ist. Außerdem habe ich auch die Gefahr, dass ich mich selbst komplett aussperre, wenn ich von unterwegs zugreife, zumindest reduziert. Das war mit aktivem kh-recidive eine durchaus reale Gefahr. Ist mir zwar nie passiert, wäre aber immerhin möglich gewesen. So kann ich jetzt immer noch ins Keyhelp-Panel und gesperrte IPs entsperren, auch und gerade wenn ich per SSH nicht mehr reinkomme. Da hätte ich bisher zumindest die VNC-Konsole gebraucht um mich wieder zu entsperren.
Ich schaue mal wie sich das auf dem Server macht und passe nötigenfalls die Jails noch etwas an. Falls es irgendwann passt, werde ich das auf alle Server übertragen. Falls nicht, stelle ich halt mein eigenes conf-File in /etc/fail2ban/jail.d wieder auf den bisherigen Stand zurück und alles ist wieder wie es war.
