Ich betreibe ja seit einiger Zeit bereits einen kleinen VServer. Vor kurzer Zeit schien es mir ratsam etwas gegen die haeufigen (vergeblichen) SSH-Verbindungsversuche zu unternehmen und installierte mir “fail2ban”.

Fail2ban guckt sich das Logfile an und wenn da drin innerhalb eines gewissen Zeitfenster bestimmte Ausdruecke auftauchen, wie z.B. “Invalid user XXX from abc.def.ghi.jkl”, dann macht fail2ban eine definierte Aktion und unterbindet damit in (naher oder ferner) Zukunft diese Versuche.

Nun hat fail2ban natuerlich eine kleine Schwachstelle: Die Default-Werte sind in den meisten Faellen ausreichend, werden aber selten geaendert und so versuchte “mein Angreifer”, sich in mein System mit verschiedenen Login-Namen einzuloggen und liess, zwischen den einzelnen Versuchen, gerade so viel Zeit verstreichen, dass fail2ban (eigentlich) gerade nicht reagieren wuerde.

Bei mir hat fail2ban trotzdem reagiert… aber nicht ge”banned”?! Haeh? Seltsam! Nach einigem Herumprobieren und schliesslichem HARD-Drop in der Firewall fuer diese IP-Addresse, fiel mir auf, dass ich ja den SSH-Port veraendert hatte. Nicht als wirksame Schutzmassnahme, sondern mehr als Hindernis fuer die einfachsten Skripte.

DOH! Okay, kurzerhand fail2ban-Konfiguration angepasst und damit sollte auch in Zukunft diese Huerde zumindest die einfachsten und automatisierten Angriffe abhalten.