Guest GastHatte nur die Idee dass es auch für reine Webspace Anwender eine mögliche Lösung geben sollte.
Zwei Ideen dazu:
- Webspace-Anwender schreiben ihre Blockadewünsche in eine Datei in ihrem Bereich und ein berechtigter cron-Job liest die gelegentlich aus und übergibt die Einträge an Fail2Ban. In Echtzeit geht's auch, wenn ein Service die enstprechenden Verzeichnisse mit inotify überwacht. Da gibt es weniger Sicherheitsprobleme (außer "Selbstblockade" durch falsche Einträge), dafür ist die Rückmeldung an den Anwender, ob's denn geklappt hat mit dem Weitergeben an Fail2Ban oder iptables, etwas mühsam.
- Bei sudo braucht's root-Rechte nur für das Einrichten. Man kann da aber schon für einen Benutzer oder eine Gruppe Rechte nur für ein bestimmtes Kommando vergeben, einschließlich Vorgaben für die Parameter des Kommandos. Das Kommando kann auch ein Perl-Skript sein, das dann selbst weitere Prüfungen durchführen kann bevor es eine IP-Adresse an Fail2Ban weitergibt. Parameterprüfung ist in jedem Fall ratsam, um unfreiwillige (oder auch gewollte) Totalblockaden zu vermeiden!
In jedem Fall muss man da ganz genau hinschauen, was findige Webspace-Anwender mit so einer Möglichkeit anrichten können. Die Verlockung, auf dem Weg Code einzuschleusen zu können, ist groß...