API: Fail2Ban

Welche Features fehlen Ihnen noch? Teilen Sie es uns mit.
Post Reply
Tobi7889
Posts: 141
Joined: Tue 3. Oct 2023, 22:38
Location: Hannover

API: Fail2Ban

Post by Tobi7889 »

Moin,

ich fände es super, wenn die Fail2Ban Sperren per API steuerbar wären. Kunden von uns sperren sich nur zu gerne aus und ich würde gerne in unserem Kundencenter eine Funktion einbauen, dass Kunden sich selbst wieder entsperren können.
Liebe Grüße
Tobias
Blubby
Posts: 117
Joined: Tue 5. Mar 2024, 13:10

Re: API: Fail2Ban

Post by Blubby »

Das wäre wirklich super.
User avatar
Ralph
Posts: 1550
Joined: Mon 30. Mar 2020, 16:14

Re: API: Fail2Ban

Post by Ralph »

Tobi7889 wrote: Fri 3. Jul 2026, 09:32 Moin,
ich fände es super, wenn die Fail2Ban Sperren per API steuerbar wären. Kunden von uns sperren sich nur zu gerne aus und ich würde gerne in unserem Kundencenter eine Funktion einbauen, dass Kunden sich selbst wieder entsperren können.
Es wäre wohl besser wenn der Kunde die Ursache (Fehl Logins) von seiner Seite aus behebt, das blocking macht schon Sinn und nebenbei ist es nicht unbedingt notwendig wenn ein Attacker sich Zugriff auf ein Kundenkonto verschafft hat, diesem auch noch die Möglichkeit einzuräumen dessen Client Systeme für Attacken zu whitelisten.
Tobi7889
Posts: 141
Joined: Tue 3. Oct 2023, 22:38
Location: Hannover

Re: API: Fail2Ban

Post by Tobi7889 »

Ralph wrote: Fri 3. Jul 2026, 18:27
Tobi7889 wrote: Fri 3. Jul 2026, 09:32 Moin,
ich fände es super, wenn die Fail2Ban Sperren per API steuerbar wären. Kunden von uns sperren sich nur zu gerne aus und ich würde gerne in unserem Kundencenter eine Funktion einbauen, dass Kunden sich selbst wieder entsperren können.
Es wäre wohl besser wenn der Kunde die Ursache (Fehl Logins) von seiner Seite aus behebt, das blocking macht schon Sinn und nebenbei ist es nicht unbedingt notwendig wenn ein Attacker sich Zugriff auf ein Kundenkonto verschafft hat, diesem auch noch die Möglichkeit einzuräumen dessen Client Systeme für Attacken zu whitelisten.
Natürlich ist es "besser" das Problem zu beheben, aber manchmal passiert es eben und Nachts um 03 deshalb Notdienstgebühren zu zahlen ist wenig Lustig für den Kunden .. und ja das Risiko besteht, aber halte ich für so dermaßen gering, zumal es eine 2FA Pflicht gibt in diesen Bereichen bei uns. Wer eine API nutzt und Funktionen bereitstellt sollte sich dann seine Gedanken darüber machen oder es nicht nutzen ;)

Ein Whitelisting habe ich gar nicht erwähnt, sondern dass ein Nutzer sich selbst entsperren kann, wenn er ausversehen gesperrt wurde zB. bei Tests. Und das bei uns zumindest mit gegebener Sicherheit und Cooldowns.

Und der Kunde kann es ja nur beheben und testen wenn er sich auch entsperren konnte, weil aktuell sieht und weiß er ja gar nicht warum. Und über API könnte ich dann zB. einbauen, dass er seine IP Abfragen kann und den Grund sieht und entsperren kann.

Einfach mal akzeptieren, es gibt Anwendungsbereiche die einfach von der bunten "Ich backe mir meinen Kunden" Welt abweichen :D
Liebe Grüße
Tobias
User avatar
Ralph
Posts: 1550
Joined: Mon 30. Mar 2020, 16:14

Re: API: Fail2Ban

Post by Ralph »

Tobi7889 wrote: Fri 3. Jul 2026, 18:51 Ein Whitelisting habe ich gar nicht erwähnt, sondern dass ein Nutzer sich selbst entsperren kann, wenn er ausversehen gesperrt wurde zB. bei Tests. Und das bei uns zumindest mit gegebener Sicherheit und Cooldowns.
Ich habe den Begriff "Whitelisting" vorausschauenderweise gezielt gewählt. An Fail2ban, Firewalls und anderen sicherheitsrelevanten Dingen, haben Kunden nichts zu suchen ... außerdem wird F2B die IP nach der Bantime wieder freigeben, wenn keine weiteren Fehl Logins produziert werden.
Es würde dem dem Kunden auch nicht weiterhelfen seine IP selbst zu entsperren wenn dieser im Anschluß weitere Fehl Logins verursacht.
Tobi7889 wrote: Fri 3. Jul 2026, 18:51 Einfach mal akzeptieren, es gibt Anwendungsbereiche die einfach von der bunten "Ich backe mir meinen Kunden" Welt abweichen :D
Einfach mal vorher Ideen besser durchdenken :roll:
Blubby
Posts: 117
Joined: Tue 5. Mar 2024, 13:10

Re: API: Fail2Ban

Post by Blubby »

Ralph wrote: Fri 3. Jul 2026, 19:11
Einfach mal vorher Ideen besser durchdenken :roll:
Ich habe diese Idee schon vor Jahren durchdacht und sie für so sinnvoll gehalten das ich mir da selber was gebaut habe. Zwar schalten wir das zwar selber meist wieder frei aber auch Kunden haben das schon gemacht.
Die Standardlösung bei sowas "mal schnell die Fritzbox vom Strom ziehen" funktioniert nämlich in größeren Firmen nicht wenn mal wieder jemand murks auf seinem Rechner gemacht hat.
User avatar
Tobi
Community Moderator
Posts: 3701
Joined: Thu 5. Jan 2017, 13:24

Re: API: Fail2Ban

Post by Tobi »

@Blubby
Dann poste einfach dein selbst gebautes und wir können hier zu machen 😉
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Blubby
Posts: 117
Joined: Tue 5. Mar 2024, 13:10

Re: API: Fail2Ban

Post by Blubby »

Tobi wrote: Fri 3. Jul 2026, 22:16 @Blubby
Dann poste einfach dein selbst gebautes und wir können hier zu machen 😉
Das gefrickel ist mir aber zu peinlich weswegen ich auch lieber was ordentliches über die Api hätte :D
User avatar
Ralph
Posts: 1550
Joined: Mon 30. Mar 2020, 16:14

Re: API: Fail2Ban

Post by Ralph »

Vermutlich haben nicht alle Anbieter das Glück sich blind auf deren Kundschaft verlassen zu können ...
Falls sich nun ein oder mehrere Kunden darunter befinden die permanent "versehentlich" Logins austesten, die nicht zum eigenen Kundenkonto gehören oder versuchen über Spyware an Daten von anderen Kunden oder des Systems zu gelangen, ist es natürlich sehr sinnvoll für diese Kunden, die IP Adresse selbsständig entsperren zu dürfen :lol:

Aber wie auch immer, auch wenn ein blocking z.b. durch einen Email Client verursacht wurde, nützt diese Self Service Unlock Function nichts, wenn die Ursache für dieses blocking vorher nicht beseitigt wurde, weil das nächste blocking dann bereits greift bevor der gute Kunde mit dem entsperren fertig geworden ist.

Dumm gelaufen wäre wohl auch wenn ein Webserver Jail greift, dann könnte es schwierig werden mit dem selbst entsperren ...
Tobi7889
Posts: 141
Joined: Tue 3. Oct 2023, 22:38
Location: Hannover

Re: API: Fail2Ban

Post by Tobi7889 »

Bevor diese Diskussion nun ausufert: Es ist eine API und jedem steht frei, mit einer API etwas umzusetzen oder nicht.
Ralph wrote: Fri 3. Jul 2026, 19:11 Einfach mal vorher Ideen besser durchdenken
Das habe ich sehr intensiv und habe auch einen klaren Gedanken dazu, unter welchen Premissen, Permissions, Jails und Cooldowns ich das anbieten möchte, danke der Nachfrage :)

Ich habe das Gefühl, dass hier schnell davon ausgegangen wird, dass es dann jeder nutzen muss, nur weil eine API die Option bietet .. aber nein, muss man nicht und jeder der sie aktiv verwendet und die Funktion bereitstellt wird sich schon Gedanken dazu machen ;)

-----

Nun lasst uns einfach zu dem Wunsch zurückkehren, statt der Diskussion ob und wer es wie einsetzt.
Liebe Grüße
Tobias
User avatar
Jolinar
Community Moderator
Posts: 4348
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: API: Fail2Ban

Post by Jolinar »

Ihr bewegt euch mit eurer Diskussion doch etwas vom Thema weg.
Der Funktionswunsch hat offenbar für spezielle Szenarien seine Berechtigung, für andere wiederum nicht. Die Funktion ansich ist ja vorhanden und es stellt sich doch nur die Frage, ob eine Umsetzung via API technisch sinnvoll ist und sich dadurch ein Mehrwert ergibt.


BTW:
Ralph wrote: Fri 3. Jul 2026, 19:11 Einfach mal vorher Ideen besser durchdenken :roll:
Solche Verbalattacken schmälern deine Objektivität im Thema... ;) :geek:
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
otto58
Posts: 159
Joined: Thu 29. Jul 2021, 13:20

Re: API: Fail2Ban

Post by otto58 »

Vielleicht sollte einfach dargelegt werden, welche API Funktionen genau gewünscht sind, um das Ziel - Kunden können sich selbst entsperren - zu realisieren. Das Gefrickel kann man auch verbal erläutern.
User avatar
Ralph
Posts: 1550
Joined: Mon 30. Mar 2020, 16:14

Re: API: Fail2Ban

Post by Ralph »

Die Umsetzung via API ist mir schon bewusst z.b. über ein angbundenes System wie WHMCS etc.
Weil die API Client IP vermutlich whitelisted ist, könnten z.b. vorab Client IP Blacklist Checks integriert werden und eine max. Anzahl von Entsperrungen in einem bestimmten Zeitraum und eine Prüfung ob die angeforderte Entsperrung auf die verwendete Kunden IP Adresse zutrifft, seitens API client ...

Die Systemrechte die dazu erforderlich sind, bereiten mir allerdings Bauchschmerzen ... auch wenn es NUR via API möglich sein soll, sind diese Funktionen und Berechtigungen lokal (zunächst) ebenfalls vorhanden.

Diese Berechtigungen können ggf. auch wieder Panel-seitig eingeschränkt werden, aber lohnt sich der ganze Aufwand und die erweiterte UID/GID Rechte Fummelei nur damit ein Kunde seine geperrte IP selbst entsperren kann und sich danach darüber beschwert wenn es nicht funktioniert hat, aufgrund von weiteren Fehl Logins?
Abgesehen davon, bleibt immer noch der Punkt -> missbräuchliche Selbst Entsperrungen bestehen.
Post Reply