* Florian Schaal mailinglist@schaal-24.de:
Hallo Robert,
Am 03.02.2013 17:14, schrieb Robert Schetterer:
Gefällt mir gut und passt auch ziemlich genau zu meiner Lösung mit syslog-ng. Auch wenn ich dabei keine Pipe brauche, sondern die IP direkt die Firewall eintragen kann. K.A. ob rsyslog das auch kann.
Hi Florian, direkt ist natuerlich der Koenigsweg wir haben das damals aus Zeitmangel nicht getestet wobei ein script das eine pipe liest evtl auch noch die Moeglichkeit gibt zusaetzlich etwas einzubinden ,wenn gewuenscht
Ich verwende Scripts nur für andere Bans, um dadurch eine Whitelist realisieren zu können. Das läuft dann aber nicht über eine Pipe, sondern ein Script wird dazu von syslog-ng aufgerufen. Einen Grund gibts dafür allerdings nicht, das ist historisch so gewachsen. ;)
Der Vorteil an der Lösung syslogd/recent ist m.E. dass sich darüber schneller als über fail2ban blocken lässt. Zumal f2b doch arg Last produziert, wenn zu viele Logeinträge auflaufen. Ich verwende fast nur noch recent.
Ein anderer Vorteil ist IMO die Klarheit der Lösung. f2b ist - persönliche Meinung - ein ganz schöner Haufen zusammengeworfener Code den Programmierer für Programmierer gemacht haben. Für Admins, die eher ein Konfigurationsinterface mit Optionen, die sie an und ausschalten bzw. kombninineren können, ist f2b nicht wirklich geeignet.
Christian (Rößner) und ich, wollten mal f2b mal um die Fähigkeit erweitern ARF-Reports zu generieren. Das haben wir nach einem Code-Review dann mal schön sein lassen. Wir haben uns damals vorgenommen - sollte uns mal richtig langweilig sein - f2b von Grund auf neu zu bauen. Dann würde es auch besser skalieren UND es hätte ein brauchbares und dokumentiertes (!) interface.
Und damit einen guten Start in die Woche ;)
p@rick