Seit einigen Tagen setzen wir auf allen Servern die Software “fail2ban” ein. Mit diesem Verfahren wird die IP-Adresse eines Nutzers für eine Stunde vom Server gesperrt, wenn er sich mehr als 6x mit falschen Benutzerdaten versucht anzumelden. Dies betrifft alle Webserver mit Zugriffsversuchen per FTP, sFTP oder SSH.
Ist die IP-Adresse eines Nutzers für den Zugriff gesperrt, kann dieser Nutzer auch die Webseiten des Servers nicht mehr abrufen. Dies mag auf den ersten Blick ungewöhnlich erscheinen, ist jedoch darin begründet, dass die IP über die Firewall gesperrt wird und damit der komplette Zugriff auf den Server verhindert wird. Alle anderen Besucher können die Webseiten auf dem Server nach wie vor erreichen. Die Sperrung wird nach einer Stunde automatisch aufgehoben.
Die ersten Tage mit “fail2ban” haben gezeigt, dass viele hundert Angriffe auf unsere Server wirksam abgewehrt wurden und durch die Sperrung über die Firewall auf den Servern erst gar keine Last entstanden ist. Wir konnten aber auch beobachten, dass einige legitime Nutzer vom Server ausgesperrt wurden. Dafür gibt es verschiedene Gründe:
- falsche Passwörter und falsche Benutzernamen (unvollständig, falsche Groß-/Kleinschreibung, mitkopierte Leerzeichen)
- die Änderung von Passwörtern im Kundenmenü war beim Login-Versuch noch nicht wirksam
Letzteres Problem können wir durch eine Verkürzung der Update-Intervalle auf den Servern etwas reduzieren. Diese Änderung werden wir in den nächsten Tagen auf allen Servern umsetzen.