[Eisfair] [eisfair-1/eisfair-2/eisxen] brute_force_blocking (BFB) 0.3.8 released

[Olaf Jaehrling]

Hallo Raphael,

--- Original-Nachricht ---
Absender: Raphael Gradenwitz
Datum: 28.09.2011 03:50
> Hi Olaf,
> 
> Am 28.09.2011 01:05, schrieb Olaf Jaehrling:
>> Hi @ll,
>>

> 
> Ich habe die neue Version installiert und die Installation blieb beim
> Neustart des Dienstes hängen. Ich kann, nein ich muss leider erst mal
> jedem davon abraten diese Version zu installieren!

Wow, weil bei dir ein Fehler auftritt empfiehlst du gleich allen das
Paket nicht zu installieren. Respekt.

> 
> Das Init-Script ist so nicht in der Lage die IP-Tables-Regeln auf zu
> räumen bzw. alle mögliche eventualitäten ab zu decken wie es für einen
> Neustart des Dienstes nach dem Update nötig ist und geriet deshalb bei
> mir in einer Endlos-Schleife!
> 
...
> 
> Lieber Olaf, räume bitte (endlich) dein Code auf, es ist ein absolutes
> Chaos und durcheinander. Baue es bitte moduliert(er) und lesbar.

Hm, das initscript ist im Wesentlichen von dir ...
Ich habe 8unter anderm) nur einen weiteren iptables-Aufruf hinzugefügt.
Das Grundgerüst ist aber von Dir 1:1 übernommen.

Modified:     08.04.2009  by rg

Bei allen meine eisfair-Rechnern gab es keine Probleme
Das Paket wurde bisher 39 mal installiert, von mir davon auf knapp 20
eisfair und ich hatte keine Probleme mit einer iptables-schleife.
Ich kann mich noch dunkel erinnern, das mal ganz kurz eine Version
draussen war, die das Problem hatte. Von welcher Version hast du denn
das update gefahren?



> 
> Ich möchte auch nicht unbedingt das iptables auf dem Host, sondern das
> auf dem vorgelagerten fli4l blocken lassen aber so etwas ist schon gar
> nicht, nicht mal ansatzweise vorgesehen und so wie das jetzt
> strukturiert ist, muss ich da jedes Mal fast alles neu schreiben.

Wie soll ich das verstehen. BFB soll die iptables auf einem anderen
Rechner/Server/Firewall/Router steuern? Nein, das ginge zu weit. Der Fli
hat meines Wissen sehr gute Möglichkeiten das selbst zu übernehmen.

> 
> Temporäre Dateien werden nie aufgeräumt, ob es nun die letzte Mail ist
> oder z.B. /tmp/atmaupdate (wozu ist die Datei überhaupt gedacht? 

 Na nie ist ein bissel übertrieben. OK. mit der Datei hast dur recht,
die BFBmail-Dateien lösche ich mit Absicht nicht ständig, weil sie eh
wieder überschrieben werden. So verhindere ich, dass irgendwann keine
inodes mehr frei sind.

Wird
> die auch noch irgendwo abgefragt? Ich habe auf die Schnelle nur Stellen
> gefunden wo sie mit IP-Nummern gefüttert wird) die ständig anwächst auf
> bei mir mittlerweile über 50.000 Einträge.

Das prüfe ich. Kann aber bestätigen, dass es diese Datei gibt, bei mir
mit 46000 Einträgen. Ich muss aber auch dazu sagen, dass die Datei von
atma.es so viele Einträge hat und ich nur die des letzens Monats
herausfiltere. Evlt ist das ja die Datei von atma.es. Werde die Datei
aber im nächsten Release löschen.

> 
> Das Proaktive Blocking ist auch noch recht suboptimal gelöst. Solche
> Blacklisten können viel effizienter mit pgl geblockt werden. Schaue dir
> das (pgl) bitte mal an. Dann werden nicht einzelne IP's geblockt so wie
> hier zufällig herausgeschnitten:

Du musst das ja bei BFB nicht aktivieren. Mit Netzmasken kann man recht
schlecht arbeiten, wenn einzelne ip-Adressen in den Logfiles auftauchen.
Ein grep auf die einzelne IP in einem Textfile geht schneller als wenn
erst noch eine Netzmaske ausgewertet werden muss.
Bei den schnellen Scripten heutzutage laufen ja in den 10 sekunden der
BFB-Schleife stellenweise schon bis zu 20 ssh-Abfragen durch.


> 
> Raphael


Es wäre nett, wenn die anderen User, welche das Paket installiert haben,
sich melden würden ob sie auch Probleme hatten. Wie gesagt, ich kann die
Probleme bei keinem meiner eisfair nachvollziehen.

Danke und Gruß

Olaf