API: Fail2Ban
API: Fail2Ban
ich fände es super, wenn die Fail2Ban Sperren per API steuerbar wären. Kunden von uns sperren sich nur zu gerne aus und ich würde gerne in unserem Kundencenter eine Funktion einbauen, dass Kunden sich selbst wieder entsperren können.
Tobias
Re: API: Fail2Ban
Es wäre wohl besser wenn der Kunde die Ursache (Fehl Logins) von seiner Seite aus behebt, das blocking macht schon Sinn und nebenbei ist es nicht unbedingt notwendig wenn ein Attacker sich Zugriff auf ein Kundenkonto verschafft hat, diesem auch noch die Möglichkeit einzuräumen dessen Client Systeme für Attacken zu whitelisten.
Re: API: Fail2Ban
Natürlich ist es "besser" das Problem zu beheben, aber manchmal passiert es eben und Nachts um 03 deshalb Notdienstgebühren zu zahlen ist wenig Lustig für den Kunden .. und ja das Risiko besteht, aber halte ich für so dermaßen gering, zumal es eine 2FA Pflicht gibt in diesen Bereichen bei uns. Wer eine API nutzt und Funktionen bereitstellt sollte sich dann seine Gedanken darüber machen oder es nicht nutzenRalph wrote: ↑Fri 3. Jul 2026, 18:27Es wäre wohl besser wenn der Kunde die Ursache (Fehl Logins) von seiner Seite aus behebt, das blocking macht schon Sinn und nebenbei ist es nicht unbedingt notwendig wenn ein Attacker sich Zugriff auf ein Kundenkonto verschafft hat, diesem auch noch die Möglichkeit einzuräumen dessen Client Systeme für Attacken zu whitelisten.
Ein Whitelisting habe ich gar nicht erwähnt, sondern dass ein Nutzer sich selbst entsperren kann, wenn er ausversehen gesperrt wurde zB. bei Tests. Und das bei uns zumindest mit gegebener Sicherheit und Cooldowns.
Und der Kunde kann es ja nur beheben und testen wenn er sich auch entsperren konnte, weil aktuell sieht und weiß er ja gar nicht warum. Und über API könnte ich dann zB. einbauen, dass er seine IP Abfragen kann und den Grund sieht und entsperren kann.
Einfach mal akzeptieren, es gibt Anwendungsbereiche die einfach von der bunten "Ich backe mir meinen Kunden" Welt abweichen
Tobias
Re: API: Fail2Ban
Ich habe den Begriff "Whitelisting" vorausschauenderweise gezielt gewählt. An Fail2ban, Firewalls und anderen sicherheitsrelevanten Dingen, haben Kunden nichts zu suchen ... außerdem wird F2B die IP nach der Bantime wieder freigeben, wenn keine weiteren Fehl Logins produziert werden.
Es würde dem dem Kunden auch nicht weiterhelfen seine IP selbst zu entsperren wenn dieser im Anschluß weitere Fehl Logins verursacht.
Einfach mal vorher Ideen besser durchdenken
Re: API: Fail2Ban
Ich habe diese Idee schon vor Jahren durchdacht und sie für so sinnvoll gehalten das ich mir da selber was gebaut habe. Zwar schalten wir das zwar selber meist wieder frei aber auch Kunden haben das schon gemacht.
Die Standardlösung bei sowas "mal schnell die Fritzbox vom Strom ziehen" funktioniert nämlich in größeren Firmen nicht wenn mal wieder jemand murks auf seinem Rechner gemacht hat.
Re: API: Fail2Ban
Dann poste einfach dein selbst gebautes und wir können hier zu machen
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: API: Fail2Ban
Das gefrickel ist mir aber zu peinlich weswegen ich auch lieber was ordentliches über die Api hätte
Re: API: Fail2Ban
Falls sich nun ein oder mehrere Kunden darunter befinden die permanent "versehentlich" Logins austesten, die nicht zum eigenen Kundenkonto gehören oder versuchen über Spyware an Daten von anderen Kunden oder des Systems zu gelangen, ist es natürlich sehr sinnvoll für diese Kunden, die IP Adresse selbsständig entsperren zu dürfen
Aber wie auch immer, auch wenn ein blocking z.b. durch einen Email Client verursacht wurde, nützt diese Self Service Unlock Function nichts, wenn die Ursache für dieses blocking vorher nicht beseitigt wurde, weil das nächste blocking dann bereits greift bevor der gute Kunde mit dem entsperren fertig geworden ist.
Dumm gelaufen wäre wohl auch wenn ein Webserver Jail greift, dann könnte es schwierig werden mit dem selbst entsperren ...
Re: API: Fail2Ban
Das habe ich sehr intensiv und habe auch einen klaren Gedanken dazu, unter welchen Premissen, Permissions, Jails und Cooldowns ich das anbieten möchte, danke der Nachfrage
Ich habe das Gefühl, dass hier schnell davon ausgegangen wird, dass es dann jeder nutzen muss, nur weil eine API die Option bietet .. aber nein, muss man nicht und jeder der sie aktiv verwendet und die Funktion bereitstellt wird sich schon Gedanken dazu machen
-----
Nun lasst uns einfach zu dem Wunsch zurückkehren, statt der Diskussion ob und wer es wie einsetzt.
Tobias
- Jolinar
- Community Moderator
- Posts: 4348
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: API: Fail2Ban
Der Funktionswunsch hat offenbar für spezielle Szenarien seine Berechtigung, für andere wiederum nicht. Die Funktion ansich ist ja vorhanden und es stellt sich doch nur die Frage, ob eine Umsetzung via API technisch sinnvoll ist und sich dadurch ein Mehrwert ergibt.
BTW:
Solche Verbalattacken schmälern deine Objektivität im Thema...
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: API: Fail2Ban
Re: API: Fail2Ban
Weil die API Client IP vermutlich whitelisted ist, könnten z.b. vorab Client IP Blacklist Checks integriert werden und eine max. Anzahl von Entsperrungen in einem bestimmten Zeitraum und eine Prüfung ob die angeforderte Entsperrung auf die verwendete Kunden IP Adresse zutrifft, seitens API client ...
Die Systemrechte die dazu erforderlich sind, bereiten mir allerdings Bauchschmerzen ... auch wenn es NUR via API möglich sein soll, sind diese Funktionen und Berechtigungen lokal (zunächst) ebenfalls vorhanden.
Diese Berechtigungen können ggf. auch wieder Panel-seitig eingeschränkt werden, aber lohnt sich der ganze Aufwand und die erweiterte UID/GID Rechte Fummelei nur damit ein Kunde seine geperrte IP selbst entsperren kann und sich danach darüber beschwert wenn es nicht funktioniert hat, aufgrund von weiteren Fehl Logins?
Abgesehen davon, bleibt immer noch der Punkt -> missbräuchliche Selbst Entsperrungen bestehen.