SSHGuard Blacklist

Mardor

Mardor

Well-Known Member
Hallo,

ich setze aktuell FreeBSD 10.3 mit SSHGuard via rc.conf ein. Durch einen Test von SSHGuard sind bei mir IP Adressen auf die Blacklist gewandert. Nun habe ich schon die blacklist.db gelöscht, allerdings wird diese Blacklist beim Neustart über "service sshguard restart" wieder neu erstellt (sehr wahrscheinlich aus dem zugrundeligenden Log).

Wie kann ich denn ohne Löschen des eigentlichen Log (aus dem sich SSHGuard die Informationen zieht) IP Adressen dauerhaft (restart-sicher) aus der blacklist entfernen ?

Das Whitelisten bringt mir hier keine Lösung.


Gruß Mardor
 
Hallo,

eventuell ist zusammenfassend eher die Frage:

Wie lösche ich die Blacklist ohne das beim Neustart des Services die Blacklist wieder durch alte Logeinträge gefüllt wird ?

Gruß Marcus

PS: Was mich eben auch wundert ist, dass eine Blacklist angelegt/befüllt wird ohne das ich dies durch den Parameter in der rc.conf gesagt habe.
 
Mal ins Blaue hinein ...

Dein sshguard liest beim Start durch irgendwelche Logs, schaut sich die "attack pattern" an und sperrt, was er finden kann. Wenn er keine db zugewiesen kommt, macht er irgendeinen Standard.

Ich bin mit ossec bis dato ganz gut gefahren. Etwas frickelig zu installieren, aber extrem zuverlässig ohne übetrtrieben zu sein.
 
Hallo peterle,

genau sehe ich das auch.
Ich gehe davon aus, dass wenn ich meine IP aus dem Log lösche, die DB lösche und sshguard neu starte dann meine IP nicht mehr geblockt ist, aber das sollte doch auch anders gehen.

Gruß Mardor
 
Wenn ich mich richtig erinnere, dann läuft das doch über eine PF Tabelle, wo die IP's eingetragen werden oder? Dann könntest du diese dort einfach entfernen.
 
Wenn Du die Datenbank löschst, dann weiß er nicht mehr, was er aus der Firewall löschen muß, weil er nicht mehr weiß, was er eingetragen hat - vielleicht schaust Du da mal rein?
 
Wenn Du die Datenbank löschst, dann weiß er nicht mehr, was er aus der Firewall löschen muß, weil er nicht mehr weiß, was er eingetragen hat - vielleicht schaust Du da mal rein?
Zum Vergrößern anklicken....

Naja, die Blackliste ist laut man page dafür da eine ewige Blockierung der IP zu erreichen. Diese wird genauso wie die temporäre Blockierung über die pf Table "sshguard" in pf eingebunden.

Zusammenfassend habe ich folgendes getestet:

Flush der Table in PF -> Wiederauffüllung mit zu blockender IP Adresse über die Blacklist beim Restart des Service
Löschen der Datenbank und der pf Table > Wiederauffüllung zu blockender IP Adresse über den Log, dann auffüllen der pf Table

Gruß Mardor
 
Hellau,

so wie ich es sehe, hast Du eine Möglichkeit noch nicht getestet: setze die geblockten Adressen doch in eine Whitelist -> Link
Eine andere Möglichkeit wäre noch die Vorhaltezeit auf ein Minimum zu reduzieren und warten, bis die Adressen wieder freigegeben sind.
 
@Mardor

Ich kenne das Ding nicht, aber wenn er mir immer alte Logs einliest und daraus was neues bastelt, dann wäre das für mich ein Grund, eine Alternative zu suchen ...
Haben die keine Mailinglist, Forum oder sonstwas? Interessiert mich, wie es ausgeht. :)
 
Hallo,

also das ist die Antwort auf der Mailingliste:

I remember this bug has come up before. What version of SSHGuard are you
using? I suspect it's a bug that's since been fixed in LogSuck.
Zum Vergrößern anklicken....
SSHGuard *should* never read log entries that came before it started.
Zum Vergrößern anklicken....

Der Port wurde das letzte Mail im Juli 2015 aktualisiert.
Nun ist die Frage wie/wann die Version von FreeBSD aktualisiert wird.

Gruß Mardor
 
Mardor schrieb:
Der Port wurde das letzte Mail im Juli 2015 aktualisiert.
Zum Vergrößern anklicken....
Wo hast Du die Info her? Freshports zeigt, dass SSHGuard auf dem aktuellen Stand (Version 1.6.4) ist. Diese Version ist Ende April veröffentlicht worden und nur ein paar Tage später gab es schon die Aktualiserung des Ports. Der Maintainer scheint sogar eigene Patches ergänzt zu haben, die noch nicht in Upstream sind.
Release-Übersicht von SSHGuard: http://www.sshguard.net/litenewz/feeds/
Port-Infos von Freshports: https://www.freshports.org/security/sshguard/
 
SolarCatcher schrieb:
Wo hast Du die Info her? Freshports zeigt, dass SSHGuard auf dem aktuellen Stand (Version 1.6.4) ist. ...
Zum Vergrößern anklicken....

Naja, eventuell liege ich da falsch, aber ich habe bei Freshports unter dem Port "sshguard-pf" geschaut, nämlich das Paket was ich installiert hatte.

In FreeBSD hatte ich dann über sshguard -v die Version rausgesucht.

Gruß Mardor
 
OK, das ist wirklich verwirrend. sshguard-pf ist ein Slave Port, angeblich in Version 1.6.4_1... (weil das die Version des Master-Ports sshguard ist). Die letzte Änderung an sshguard-pf ist aber wirklich schon 1 Jahr her - da wurde auf 1.6.0_1 geupgraded.

Ich kenne diese Ports nicht - meine Vermutung: an sshguard-pf hat sich tatsächlich nichts mehr geändert. Das eigentliche Programm, das läuft ist aber sshguard und das liegt in aktueller Version vor.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben