uh, potentielle Sicherheitslücke, ick hör dir trapsen; einem Perl Script, das aus dem Internet erreichbar ist, teilweise Root-Rechte zu geben, ist zumindest gewagt.

Darf man "sicher" nicht außer Acht lassen. Aber bei einem Webserver der standardmäßig sowieso von überall erreichbar ist, scheint das Risiko überschaubar.

Hier fehlt das Escaping

richtig

Wie lange geht das gut? Gibt es eine Maximalwert, bei der die Firewall schon alleine durch die Anzahl der Regeln überfordert ist? Wo liegt der typisch?

Dafür wird es keine einfache Vorhersage geben, das hängt zu sehr von der Hardware, der verwendeten Version von netfilter und der genauen Form der Regeln ab. Du löscht die Regeln ja bestimmt auch automatisiert nach einer gewissen Zeit wieder, damit es nicht zu einem größeren Problem wird, oder?

Automatisch passiert da noch nichts. Teilweise sehe ich momentan auch die selben IP's Tage später noch. Meinetwegen muss ich die nie wieder. Möglichweise könnte ich einmal im Monat die Regeln automatisch zurücksetzen und ganz von vorne anfangen (oder so). Aber meine Frage habe ich nur gestellt, um zu erfahren, wie lange ich noch Zeit habe um mir genau darüber Gedanken zu machen. ;)

Ist das überhaupt der geeignete Ansatz das Problem zu lösen?

Ich würde sagen nein, da gibt es bessere Lösungen, die das selbe bewirken (z.B. Fail2ban), ohne dabei direkt dem Internet ausgesetzt zu sein und sich automatisch um das löschen alter Regeln kümmern.

Danke für den Tip. Muss ein extra Logfile mit den "Bad Actions" dafür geschrieben werden, welches Fail2ban dann analysiert. Aber auch Fail2ban wird genauso unmengen von Einzelregeln einrichten. Meine Skepsis, dass die irgendwann zu viel für den kleinen Server sind, die bleibt. Aber ein löschen nach Zeit ist damit schonmal sauber gelöst. Nur hoffe ich, dass fail2ban nicht mehr Ressourcen frisst, als es einspart.

Danke soweit, Frage beantwortet.

Gruß
Dennis