[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Uwe Driessen driessen at fblan.de
Do Mai 24 21:51:29 CEST 2007 

Robert Felber schrieb:
 
> Du versteifst dich drauf, dass das nur ueber SSH sinnvoll gaenge weil du jetzt
> nur das Program 'logger' kennst.
> Lies bitte auch http://de.php.net/manual/en/function.openlog.php
> Damit ist zumindest Moeglich auf das Log der Maschine (nicht aber remote, wie
> vorher von mir behauptet) zu schreiben. Wenn www auf der selben Maschine
> wie der smtp rennt, ist es halt kritisch. Ueber CGI waere das dann aber
> auch remote moeglich.

Ich versteife mich auf nichts aber es ist schwer nachzuvollziehen wenn man solche eine
Attacke noch nicht gesehen hat und wie diese im einzelnen abläuft.

> 
> 
> > Meine User
> > sind zu Zeit Froh wenn sie Ihre Webpages zum laufen bekommen.
> 
> Dieser Satz sollte dir zu denken geben.

Warum glaubst du das ich immer mehr nach Möglichkeiten suche das ganze so zu gestalten das
WEB User nach Möglichkeit nicht in Ihrem Spieltrieb eingeschränkt werden aber dennoch
alles so sicher als möglich gestaltet wird.

> Zum einen begehst du den Fehler fremde Faehigkeiten a) runterzuspielen
> und 

Das sollte nicht runtergespielt werden und sicherlich sind nicht alle so aber ich gebe dir
gerne mal so die eine oder andere Anfrage ab.

z.B warum kann eine der Link auf der HP xyz.de nicht mein Banner aufrufen (da guggste dann
nach und dann existiert der Link nicht auf unserem Server) so was meinte ich bei dem einen
oder anderen damit.  

b) baust du darauf, dass diese User keinen Fehler machen, der
> das gesamte System in einen kritischen Zustand versetzen kann. zB
> waere dies getan mit der Installation von div. Blogs, Gallerien, etc.
> 
> Frage, wuerdest du deinen Usern die Moeglichkeit geben, auf deine
> Firewall Regeln Einfluss zu nehmen? Nein?
> Nun, mit Fail2ban machst du es. Ohne dass sie es wissen oder evtl.
> ausnutzen wuerden, aber - sie koennten es.

Gib mich besseres Tool ich habe aber zur Zeit keines was mir das tun würde was ich da
gerne hätte.
Eins womit Wörterbuchattacken abgewehrt werden können da hatte ich gerade wieder einen von
der 217.95.199.1xx der kam über port 25 mit get und http commands bis dann zum
Submissionport auf dem er dann auch noch rumversucht hat. 
Der war aber ganz pööse.

> 
> Aber, ich will nicht auf der Paranoia rumreiten. Wenn du der Meinung bist,
> dass Log-Parsing auf einer Multi-User (nicht ssh, sodnern www) Maschine "Ok"
> ist, dann siehst du das eben so. :-) Ich bin da mit anderen Sicherheitsstandards
> gross geworden.
> 

Zur Zeit habe ich nichts besseres wenn ich was besseres habe dann wird es auch ersetzt.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users