înregistrare Logare
Puncte:0
avatar Ubuntu

Vulnerabilitatea Fail2Ban după repornire

drapel br
Rick

Sunt foarte mulțumit de fail2ban pentru protejarea serverului meu, cu excepția unei probleme. După o repornire, fiecare adresă IP interzisă este adăugată la iptables una câte una. Pe un server, am aproximativ 7500 de adrese IP interzise permanent și durează câteva minute să se încarce. Există o mică fereastră de timp pentru ca acele adrese IP interzise să intre după fiecare repornire.

Cum abordează alții această vulnerabilitate foarte mică?

Mulțumiri

46
0 + 0
Doug Smythies avatar
drapel gn
Doug Smythies
Aș muta cele 7500 de adrese IP interzise permanent într-o listă ipset, care este concepută pentru liste mari.De asemenea, puteți actualiza lista după ce noile IP-uri interzise ajung la dimensiunea pe care doriți să o descărcați din nou. Chiar și așa, va exista încă un mic decalaj după repornire. Prin ipset am blocat 5 țări pentru un total de 21428 sub-rețele IP și la ultima mea pornire au existat 15 pachete INPUT și 42 OUTPUT înainte ca setul de reguli iptables să termine încărcarea.
0
Răspunde
drapel br
Rick
Mulțumiri! Îmi place foarte mult acest articol, https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset În special, îmi place ideea arătată de a interzice toate ip-urile care încearcă portul 25. Foarte tare. Dar aș dori să elimin această fereastră de vulnerabilitate dacă este posibil, nu doar să-i reduc dimensiunea. De asemenea, la un moment dat am înregistrat aproximativ 1/2 atacurile mele provenind de la același serviciu de găzduire pe care se află site-ul meu. Am decis că blocarea după țară nu merită efortul.
0
Răspunde
drapel br
Rick
De asemenea, https://github.com/ritsu/ipset-fail2ban pare foarte util. Dar totuși doar reducând dimensiunea ferestrei de vulnerabilitate.
0
Răspunde
Doug Smythies avatar
drapel gn
Doug Smythies
Folosesc un script pentru a încărca setul meu de reguli iptables destul de complicat, inclusiv ipseturile mele, după pornire. Presupun că se poate seta ca primă regulă de lanț INPUT un DROP global și s-ar putea elimina acea regulă după ce totul a fost încărcat.
0
Răspunde
drapel br
Rick
Acest articol pare să aibă ceea ce îmi doresc. https://dhtar.com/make-ipset-and-iptables-configurations-persistent-in-debianubuntu.html Nu înțeleg de ce nu este implicit.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.