Mit den Firefox Addon Long URL Please (nicht Firefox Nutzer nutzen den Webdienst) kann man sofort sehen wohin die URL einen weiterleitet.

Einen langen Satz ausdenken wie
„Am 24.12. ist Weihnachten!“
und dann die Anfangsbuchstaben nehmen schon hat man ein leicht zu merkendes Passwort:
(A24.12.iW!)

finde ich schade dass man nicht pwgen vorgestellt hat.

Zwar kann man (A24.12.iW!) einfacher merken als %4yxQ;! aber wenn man dann schon 4-5 solche Passwörter (bzw Sätze) auswendig lernen musst braucht man nicht nur länger für das zusammenfügen der Buchstaben es wird dann auch noch schwieriger.

pwgen arbeitet mit den Prinzip aussprechbare, aber ohne Sinn ergebende, Passwörter zu generieren was ein Mensch sich viel leichter merken kann.

Die Bedienung ist ziemlich einfach man gibt im Terminal ein

1

pwgen Länge-der-Passwörter

schon erhält man eine lange Liste von leicht zu merkenden aussprechbaren Passwörter.

1
2
3
4
5

[yoschi@myhost ~]$ pwgen 6
Iezej7 eMad4z eG1ua5 eiCh0t Qua8xa eiW8oo Fub3oo uph6Za OoFah2 An2Phi Xeewe7
Keeth6 Naec5e Iz5quu koo8Ua ahLe1x jei7Ei raiPh6 uSo3lo ub2eeX Je9Dai Po1she
apaB2I Sho2Oh Aipe1K EeL8ch caey0O puL4ju chuoW0 Ahpe4w ooF8ae zeiJa7 eeGh8b
Veeh7i dai5As oaH9gi usaeD1 eeJoo6 Ahng9B ve7Qua ew0Yie ea4aeW iez0Th Aiki6E

Diese Passwörter sind doch leichter zu merken als ein DPsdlzm (oder (A24.12.iW!)).

Zusätzlich kann man fail2ban noch für Apache, ProFTPD und und und nutzen.

Zur Realisierung verwendet fail2ban iptables und jetzt kommt die Schwachstelle.

Schon mehrmals in der Vergangenheit wurde ermöglicht das zB. durch eine DoS Attacke fail2ban verrückt spielte und ganz andere iptables ausspuckte als er wollte darunter Aussperrung von allen IPs.

Klar ein Angreifer hätte jetzt nichts davon aber wenn fail2ban beispielsweise alle IPs speert so kann man auch nicht mehr auf der Homepage kommen wenn auf den Server noch ein Webserver lief.

Ein unnötigs Risiko in dass man sich begibt, wo es doch sogar sichere Alternativen wie knockd existieren.

Moment mal knockd ist sicher und fail2ban nicht?

Das liegt daran dass knockd anders arbeitet, es bannt keine Nutzer und er fasst nichtmal die Logs an. Auf den Server gibt man knockd bekannt was passieren soll wenn man drei ausgedachte Ports vom Clienten zu ihn schickt.

yoschi@client: knock example.org 10047 7822 23487

Was er nun macht hängt davon ab was wir für ein Befehl wir ihm gegeben haben denn wir selber müssen das bestimmen sowas wie bei fail2ban der sich selber darum kümmert gibst nicht.

Wir könnten ihn eine iptables Regel geben die den Port 22 für 10 Minuten öffnet aber nur für die IP die drei geheime Ports geschickt hat.

SSH Username und Passwort muss man zwar nach wie vor eingeben, aber wenn nun ein Bot Rechner wiedermal versucht sich mittels SSH einzuloggen ohne dabei die 3 geheimen Ports über knock zu verschicken erhält er nur eine Meldung dass auf Port 22 kein Dienst läuft.

Da wir ja die iptables Regel (oder andere solange sie Sinn machen) selber vergeben kann er nicht kompromiert werden. (Wobei wenn man schwachsinnige/unsichere iptables Regeln vergibt sollte man sich nicht wundern wenn knockd da immer noch nicht besser läuft).

Natürlich kann man fail2ban weiternutzen denn bis jetzt wurde jede Schwachstelle die bekannt geworden ist behoben. Aber die Einrichtung von knockd ist so kinderleicht, warum sollte man da noch fail2ban nutzen?