FTP: Nach drittem Versuch automatisch IP Ban?

[Rechtsteufel]

Hallo,

folgendes Szenario: Jemand versucht sich seit mehreren Tagen bei mir einzuloggen. Erst auf den Server, jetzt auf die Website per FTP. Derjenige geht davon aus, dass der Nutzername genauso lautet wie die Website, was zum Glück nicht der Fall ist. Kann man es irgendwie so einstellen, dass nach dem 3 oder 5 Versuch, die IP gebannt wird? Klar, er holt sich dann eine neue, aber es würde doch schon die Arbeit verzögern. Geht sowas überhaupt?

Grüße

Metron

[Rechtsteufel]

Also angeblich gibt es da ein Programm "Fail2Ban". Um es zu installieren geht man laut Anleitung wie folgt vor:

yast2 starten--->OK

Dann unter Software > Community Respositoies... tja, gibt es nicht. Wo sind die hin? ?(

Seht selbst:
[attach]276[/attach]

[Captain]

Du musst dieses "Community Repository" erst hinzufügen.

YaST => Software => Software Repositories

da müsste es einen Menüpunkt geben

Hinzufügen => Community/Gemeinschafts Repositories

Welche Suse Version ist das?

[Rechtsteufel]

Unter Software Repository gibt es nur Updates zu Suse.

Meine Version: openSUSE 11.1 inkl. Plesk 9.2

[Captain]

Hilft dir das hier?

Just head over to YaST -> Software -> Software Repositories. Then, in the menu: Configured Software Repositories-> Repositories.... Now hit the Add -> Community Repositories, and select:

* Main Repository (OSS)
* Main Repository (Non-OSS)
* Packman Repository
* Main Update Repository

http://opensuse-community.org/Repositories/11.1

Auch dieser Artikel könnte was passendes sein:
http://www.pc-forum24.de/linux-howtos/1 ... 1-2-a.html

[Rechtsteufel]

Dann ist meine Yast Version getürkt. Das gibts da nicht^^
[attach]277[/attach]

[Captain]

Yast is eh nix. Versuch doch mal die Installation von Hand:
http://www.fail2ban.org/wiki/index.php/ ... nux_system

[DripleX]

Fail2Ban funktioniert aber nur, wenn man einen richtigen Server, also keinen V-Server oder Sonstiges, hat.
Das gleiche Problem hatte ich nämlich und bin dann auf DenyHosts umgestiegen. Allerdings kann man, so weit ich weiß, damit nur die SSH Zugriffe sperren lassen.

[Rechtsteufel]

Die Aussage von Driple scheint zu stimmen. Ich hab mehrmals das PW falsch eingegeben und wurde nicht gebannt.

[Gast]

Die Lösung würde mich auch interessieren. Wie kann man sich sonst schützen?

[Gast]

Am besten sicherlich mit einer lokal installierten Firewall. Außerdem kann man auch ftp auf einen anderen Port legen (statt dem Stadard 21). Das macht es dem Angreifer schon sehr schwer.

Eine Firewall erfordert nur sehr viel Wissen und Zeit. Das Portumbiegen geht ganz fix!!

[Captain]

So eine IP-Tables Firewall ist zwar nett, aber wie du schon sagtest: Sehr aufwändig.

Den Port zu verbiegen hilft zumindest gegen Skriptkiddies im Ansatz, aber schon ein Portscanner machtdie schöne Idee wieder zunichte...

ABER: Wie wäre es mit dem hier?
http://www.castaglia.org/proftpd/modules/mod_ban.html

UND was noch interessant sein könnte:

Another related question often asked is "How can I limit a user to only being able to login from a specific range of IP addresses?" The can be used, in conjunction with the mod_ifsession module and a Class, to configure this:


From 1.2.3.4/8




AllowClass friends
DenyAll

[Rechtsteufel]

Der SSH Port wurde schon vor einiger Zeit geändert. Das Problem ist, dass die Loginversuche ausschließlich per FTP kommen. Klar, ich könnte einfach FTP komplett verbieten, aber das ist auch keine sonderlich saubere Lösung.

[Captain]

Und warum nicht auf einen IP-Range einschränken? Das würde dir schon etwas mehr Sicherheit bieten...