Andreas M. Kirchwitz
2023-07-09 00:21:51 UTC
Hallo Sicherheitsleute!
Fail2Ban ist ein Klassiker, aber inzwischen für Ewiggestrige,
denn der neue heiße Sch*** ist CrowdSec, weil nicht jeder für
sich isoliert in seinen lokalen Logs schmort, sondern man die
lokalen Erkenntnisse mit anderen teilt und dann mit geballter
Cloud-Power gegen böse Angreifer vorgehen kann.
Fail2Ban habe ich schon nicht verstanden, wogegen es mich
schützen oder welche alltäglichen Probleme es lösen soll.
CrowdSec ist die logische Weiterentwicklung, doch wozu
eigentlich, frage ich mich, wo ich doch bereits den Sinn
des Vorgängers nicht verstanden hatte.
Welche realen Probleme lösen Fail2Ban oder CrowdSec?
Das läuft ja auf dem "angegriffenen" System. Was muss
da abgewehrt werden? Seine Dienste betreibt man hoffentlich
bereits sicher, sonst sollte man es lieber ganz sein lassen.
Angriffe durch hohe Last muss man in der Regel im Netz über
einem abwehren, da hilft nichts auf dem angegriffenen System
selbst. Generell gehört eine Inspektion des Netzwerk- oder
Datenverkehrs eine Ebene höher auf die Netzwerkgeräte und
nicht auf den Host ganz am Ende der Kette.
So meine bescheidene Meinung, die ich für die bestmögliche
halte, sonst hätte ich ja eine andere Meinung. :-)
Hat jemand vielleicht Beispiele, wo ihm Fail2Ban oder CrowdSec
in einer realen Situation den Hintern gerettet haben, weil sonst
alles zusammengebrochen wäre?
Ich möchte es gern verstehen ... Andreas
Fail2Ban ist ein Klassiker, aber inzwischen für Ewiggestrige,
denn der neue heiße Sch*** ist CrowdSec, weil nicht jeder für
sich isoliert in seinen lokalen Logs schmort, sondern man die
lokalen Erkenntnisse mit anderen teilt und dann mit geballter
Cloud-Power gegen böse Angreifer vorgehen kann.
Fail2Ban habe ich schon nicht verstanden, wogegen es mich
schützen oder welche alltäglichen Probleme es lösen soll.
CrowdSec ist die logische Weiterentwicklung, doch wozu
eigentlich, frage ich mich, wo ich doch bereits den Sinn
des Vorgängers nicht verstanden hatte.
Welche realen Probleme lösen Fail2Ban oder CrowdSec?
Das läuft ja auf dem "angegriffenen" System. Was muss
da abgewehrt werden? Seine Dienste betreibt man hoffentlich
bereits sicher, sonst sollte man es lieber ganz sein lassen.
Angriffe durch hohe Last muss man in der Regel im Netz über
einem abwehren, da hilft nichts auf dem angegriffenen System
selbst. Generell gehört eine Inspektion des Netzwerk- oder
Datenverkehrs eine Ebene höher auf die Netzwerkgeräte und
nicht auf den Host ganz am Ende der Kette.
So meine bescheidene Meinung, die ich für die bestmögliche
halte, sonst hätte ich ja eine andere Meinung. :-)
Hat jemand vielleicht Beispiele, wo ihm Fail2Ban oder CrowdSec
in einer realen Situation den Hintern gerettet haben, weil sonst
alles zusammengebrochen wäre?
Ich möchte es gern verstehen ... Andreas