Absicherung ssh und andere Dienste
Posted: Thu 15. Jan 2026, 16:20
Ich versuche gerade auf einem Server eine Alternative zu meinem bisherigen Ansatz mit aktiviertem Jail kh-recidive. SSH-Zugang ist per Firewall für alle IPs gesperrt bis auf mein festes IPv6 Subnetz zuhause und mehrere Jumphosts (bei mehreren Anbietern). Damit muss ich von zuhause weiterhin keinen Jumphost nutzen und alles bleibt beim Alten. Das IPv6 Subnetz ist auch als ignore IP in fail2ban eingetragen, bei den Jumphosts überlege ich mir das noch. Die Jumphosts habe ich für den Fall, dass ich nicht zuhause bin oder dass Vod****e mir doch mal ein neues festes IPv6 Subnetz zuweist 
.
Bei mir lieferte sshd bisher ca 99% der insgesamt gesperrten IPs in kh-recidive. Der Anteil der IPs, die wegen mehreren unterschiedlichen Angriffen in kh-recidive landeten, war sowieso verschwindend gering. Also habe ich jetzt nur noch relativ wenige gesperrte IPs und diese in ihren jeweiligen Jails.
Damit notorische Delinquenten länger pausieren dürfen, habe ich die Jails ergänzt mit bantime.increment und bantime.multipliers. So ähnlich hatte ich das schon vor recidive.
Damit ist einerseits das System etwas entlastet und ich sehe auch in Keyhelp wieder besser, welche IP wegen was gesperrt ist. Außerdem habe ich auch die Gefahr, dass ich mich selbst komplett aussperre, wenn ich von unterwegs zugreife, zumindest reduziert. Das war mit aktivem kh-recidive eine durchaus reale Gefahr. Ist mir zwar nie passiert, wäre aber immerhin möglich gewesen. So kann ich jetzt immer noch ins Keyhelp-Panel und gesperrte IPs entsperren, auch und gerade wenn ich per SSH nicht mehr reinkomme. Da hätte ich bisher zumindest die VNC-Konsole gebraucht um mich wieder zu entsperren.
Ich schaue mal wie sich das auf dem Server macht und passe nötigenfalls die Jails noch etwas an. Falls es irgendwann passt, werde ich das auf alle Server übertragen. Falls nicht, stelle ich halt mein eigenes conf-File in /etc/fail2ban/jail.d wieder auf den bisherigen Stand zurück und alles ist wieder wie es war.
.Bei mir lieferte sshd bisher ca 99% der insgesamt gesperrten IPs in kh-recidive. Der Anteil der IPs, die wegen mehreren unterschiedlichen Angriffen in kh-recidive landeten, war sowieso verschwindend gering. Also habe ich jetzt nur noch relativ wenige gesperrte IPs und diese in ihren jeweiligen Jails.
Damit notorische Delinquenten länger pausieren dürfen, habe ich die Jails ergänzt mit bantime.increment und bantime.multipliers. So ähnlich hatte ich das schon vor recidive.
Damit ist einerseits das System etwas entlastet und ich sehe auch in Keyhelp wieder besser, welche IP wegen was gesperrt ist. Außerdem habe ich auch die Gefahr, dass ich mich selbst komplett aussperre, wenn ich von unterwegs zugreife, zumindest reduziert. Das war mit aktivem kh-recidive eine durchaus reale Gefahr. Ist mir zwar nie passiert, wäre aber immerhin möglich gewesen. So kann ich jetzt immer noch ins Keyhelp-Panel und gesperrte IPs entsperren, auch und gerade wenn ich per SSH nicht mehr reinkomme. Da hätte ich bisher zumindest die VNC-Konsole gebraucht um mich wieder zu entsperren.
Ich schaue mal wie sich das auf dem Server macht und passe nötigenfalls die Jails noch etwas an. Falls es irgendwann passt, werde ich das auf alle Server übertragen. Falls nicht, stelle ich halt mein eigenes conf-File in /etc/fail2ban/jail.d wieder auf den bisherigen Stand zurück und alles ist wieder wie es war.
