[Eisfair_dev] [eisfair-64] Paket sshguard 0.9.0

[Ansgar Püster]

Hallo,

Am 05.07.2020 um 19:24 schrieb Marcus Röckrath:
> Hallo Ansgar,
> 
> Ansgar Püster wrote:
> 
>> Ja, das ist m.E. ein grundsätzliches Problem, auf das ich auch
>> gekommen bin. sshguard blockiert den Server total!
>> Nicht mal ein ping (ICMP ECHO_REQUEST) wird noch beantwortet.
>> Ich halte ein solches Verhalten (totale Blockade durch ein
>> Paket mit Namen sshguard) für fragwürdig.
> 
> Wenn ein böser Bube einen bestimmten Port angreift, macht es doch Sinn, denn
> dann auch für alle zu blocken, oder soll der dann den nächsten Port
> "belagern"?

Nun, das ist eine Frage der funktionalen Anforderung.
Bei einem sshguard würde ich die Absicherung vor ungewünschten
ssh-Verbindungen erwarten. Nun gut, wenn auch noch ftp überwacht
wird, so ist das ggf. sinnvoll, da auch dort u.A. mit Usernamen
und Passwörtern gearbeitet wird. Zu den überwachten Mail-Teilen
kann ich mangels Know-How nichts sagen.

Wenn eine Totalblockade gesetzt wird, so muss das m.E. deutlichst
dokumentiert werden.

> Laut Homepage ist die Beobachtung weiterer Ports erst im Laufeder
> Entwicklung hinzugekommen, also ar es ursprünglich wohl doch eher ein
> reiner ssh-Blocker.

Meines Erachtens ist das eine Frage der Implementierung des
Block-Mechanismus. Schränkt man z.B. die entsprechende iptables-
Regel via multiport Angabe auf 21,22 oder andere, konfigurierbare
Ports ein, so blockt sshguard halt ftp und ssh, aber auch nur das.

Aber, wir gesagt, wenn klar ist, dass eine Totalblockade gewünscht
ist, so sollte das natürlich so bleiben.

So weit erst mal.
Gruß,
Ansgar