Я сомневаюсь, что мне следует использовать аутентификацию по ключу при входе в SSH или просто перейти на fail2ban + ssh (вход в систему отключен).
Является ли fail2ban безопасным или действительно лучше просто генерировать ключи и конфигурацию на всех моих клиентских компьютерах, которые должны подключаться к ssh?
Ответы:
Я считаю его стабильным продуктом и считаю его безопасным. В качестве дополнительной меры предосторожности я бы добавил ваш IP-адрес источника в ignoreipдирективу, jails.confчтобы убедиться, что вы не блокируете себя.
Так как он анализирует логи ssh, необходимо будет установить сеанс TCP, поэтому подделка исходных IP-адресов и правильное получение номеров последовательностей TCP для создания своего рода изменений обратного рассеяния маловероятны.
Использование ключей в дополнение к этому - неплохая идея. Другие варианты, которые помогают: переместить ssh на нестандартный IP-адрес, использовать «недавний» модуль iptables или просто решить, что вам все равно, пытаются ли люди взломать пароли. См. Этот пост сервера для более подробной информации.
Каждый раз, когда я внедрял denyhosts или fail2ban в производственной среде, он создавал гарантированный поток заявок на разблокировку, запросы на сброс пароля, запросы на изменение настроек или управление белым списком, и, как правило, просто люди, которые перестали входить в систему. изучать вещи и больше полагаться на сисадминов для того, что они могут сделать сами.
Это не техническая проблема ни с одним из этих инструментов, но если число ваших пользователей исчисляется десятками или более, это станет заметным повышением в поддержке рабочей нагрузки и разочарованных пользователей.
Кроме того, проблема, которую они решают, заключается в том, что они снижают риск атак с использованием входа в систему с помощью перебора. Честно говоря, риск этого невероятно мал, если у вас есть даже умеренно приличная политика паролей.
Я пользуюсь с нескольких лет и, по крайней мере, является хорошей защитой от сценариев.
Никакой вход в систему root, плюс довольно длинные и случайные пароли и fail2ban и, возможно, другой порт для большинства из нас достаточно безопасны.
Конечно, ssh-ключи намного лучше в плане безопасности.
Я использовал denyhosts на нескольких своих производственных и непроизводственных серверах, и он работает очень хорошо (у меня были проблемы с синхронизацией демона, поэтому я не использую его сейчас, но, возможно, он снова работает нормально).
Это не только делает вашу систему более безопасной, но и помогает вам вести более чистые журналы и просто не пускать нежелательных людей на экраны входа в систему ...
Я запускал Fail2Ban некоторое время и совсем недавно я видел распределенные попытки взлома моего SSH-сервера. Они никогда не преуспеют с такой скоростью, как я, но я следил за этим.
Они просматривают словарь, каждый IP-адрес пытается дважды, после неудачных попыток другой IP-адрес делает то же самое и т. Д. Я рассмотрел вопрос о запрете IP-адресов, которые пробуют неизвестные имена пользователей х раз. Но до сих пор я получил несколько тысяч разных IP-адресов, пытаясь войти; и я обеспокоен тем, что даже если я заблокирую их все, еще будет больше.
.confфайлы, а вместо этого помещать ваши конфигурации в.localфайлы. Это также значительно упрощает обновление, поскольку ни один из ваших локальных файлов не перезаписывается.