Ist da ein Fehler im sshguard Port?

[Fusselbär]

Mir fiel da eben gerade beim booten eine Fehlermeldung vom sshguard Start auf.

Blacklist entry (line #1 of '/var/db/sshguard/blacklist.db') appears to be malformatted. Ignoring.

Schaut mal rein in:

/usr/ports/security/sshguard/files/sshguard.in

Gehört das mit den "40:" so?

Habe gerade mal etwas gefrickelt:

diff -uN rc_d_sshguard.orig /usr/local/etc/rc.d/sshguard

--- rc_d_sshguard.orig  2016-02-11 18:35:51.050623147 +0100
+++ /usr/local/etc/rc.d/sshguard        2016-02-11 18:37:00.985600707 +0100
@@ -69,7 +69,7 @@
load_rc_config sshguard
: ${sshguard_enable:=NO}
-: ${sshguard_blacklist=40:/var/db/sshguard/blacklist.db}
+: ${sshguard_blacklist="/var/db/sshguard/blacklist.db"}
: ${sshguard_safety_thresh=40}
: ${sshguard_pardon_min_interval=420}
: ${sshguard_prescribe_interval=1200}

Dann habe ich mal in /var/db/sshguard/blacklist.db reingeschaut, da war Gliberisch drin, da habe ich den sshguard service gestoppt, die blacklist.db gelöscht, dann den sshguard service neu gestartet, es hat eine frische blacklist.db angelegt und da steht nun ganz sauber und ordentlich drin:

cat /var/db/sshguard/blacklist.db

# SSHGuard blacklist file ( http://www.sshguard.net/ ).
# Format of entries: BLACKLIST_TIMESTAMP|SERVICE|ADDRESS_TYPE|ADDRESS

 

[TCM]

Warum soll das 40: damit was zu tun haben? Die richtige Datei hat er doch.

Das Problem wurde wahrscheinlich allein dadurch gelöst, dass die .db neu erstellt wurde. Warum es überhaupt aufgetreten ist, kann man wohl jetzt nicht mehr rausfinden.

Für mich wäre das ein Hinweis, dass man Sicherheit nicht mit unnötiger Komplexität erreicht. Was spricht gegen reines PF mit overload-Tabellen?

 

[Fusselbär]

Also in dem Gliberisch konnte ich durchaus noch die IP lesen, die von einer Ubuntu Desktop Maschine hier im lokalen Netzwerk stammt. Die IP der Ubuntu Desktop Maschine ist festgenagelt. Schätze, ich saß selbst an der Kiste und habe zu oft Fehlversuche gehabt. Das Gliberisch habe ich noch:

ú$ìL86@FF192.168.0.13dSÙSß°(86@

Das mit den Overload Tabellen studiere ich dann mal etwas genauer, der sshguard Port bot sich bloß einfach so bequem an, da hatte ich gar nicht erst danach geguckt, wie sich das auch ohne sshguard direkt mit pf lösen lässt. Dankeschön für den Hinweis.