permanente Sperre von fail2ban: Überlegungen/Grenzen zu Ressourcen?

permanente Sperre von fail2ban: Überlegungen/Grenzen zu Ressourcen?

Ich habe vor Kurzem fail2ban auf einem VPS (Ubuntu 20.04) installiert, mit einer sehr einfachen Konfiguration, um SSH-Brute-Force-Angreifer abzuwehren.

Ich verwende fail2ban mit ufw (banaction = ufw) und ich habe beschlossen, sie dauerhaft zu sperren (bantime = -1).

Das funktioniert großartig und ist genau das Ergebnis, das ich wollte. Eine Einschränkung jedoch:

Wenn ich mir die lange Liste der gesperrten IPs ansehe, die von fail2ban und ufw-Statusabfragen nach 10 Tagen zurückgegeben wird, frage ich mich:

Führt diese Konfiguration irgendwann zu Speicherproblemen?

(Das ist eine Frage der Erfahrung und ich habe auf diesem Gebiet so gut wie keine).

Wenn die Speicherung zum Problem werden könnte, wäre es dann vielleicht eine bessere Idee, mit endlichen Bantime-Werten zu arbeiten?

Ich habe bewusst ein sehr einfaches Setup gewählt (entsprechend den begrenzten Kenntnissen und der begrenzten Zeit, die ich habe). Hier ist das einfache SSHD-Jail, das ich in „jail.local“ definiert habe:

[sshd]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 7 
banaction = ufw
findtime = 86400 
bantime = -1 

Antwort1

Führt diese Konfiguration irgendwann zu Speicherproblemen?

Selbst wenn die Adressen als Text gespeichert werden, sind zum Speichern nicht mehr als 15 Bytes erforderlich (4 * 3 Zahlen + 3 Punkte).

Das bedeutet, dass 1 Million Adressen nur 15 MB beanspruchen. Ich denke also, dass Sie sich darüber keine Sorgen machen müssen, es sei denn, Sie haben eine sehr bekannte Site mit sehr vielen Angriffen.

verwandte Informationen