fail2ban ปลอดภัยไหม ดีกว่าที่จะใช้ปุ่ม ssh?

11

ฉันสงสัยว่าฉันควรใช้การรับรองความถูกต้องของคีย์เมื่อเข้าสู่ระบบ SSH หรือเพียงแค่ไปที่ fail2ban + ssh (ปิดใช้งานการเข้าสู่ระบบรูท)

fail2ban ปลอดภัยหรือดีกว่าที่จะไปข้างหน้าและสร้างคีย์และตั้งค่าที่เครื่องไคลเอนต์ของฉันทั้งหมดที่ต้องเชื่อมต่อกับ ssh หรือไม่

ssh fail2ban

— solsol
แหล่งที่มา

12

ฉันตัดสินว่ามันเป็นผลิตภัณฑ์ที่มีเสถียรภาพและฉันคิดว่ามันปลอดภัย เพื่อเป็นการป้องกันไว้เป็นพิเศษฉันจะเพิ่มที่อยู่ IP ต้นทางของคุณลงในignoreipคำสั่งjails.confเพื่อให้แน่ใจว่าคุณไม่ได้ปิดกั้นตัวเอง

เนื่องจากมันจะแยกวิเคราะห์ ssh บันทึกเซสชัน TCP จะต้องมีการจัดตั้งขึ้นเพื่อปลอมแปลงแหล่งที่มาของไอพีและได้รับหมายเลขลำดับ TCP ที่ถูกต้องในการสร้างรูปแบบการกระจายกลับดูเหมือนว่าไม่น่าเป็นไปได้

การใช้กุญแจที่อยู่เหนือสิ่งนี้ก็ไม่ใช่ความคิดที่เลว ตัวเลือกอื่น ๆ ที่ช่วยในการย้าย ssh ไปยัง IP ที่ไม่เป็นมาตรฐานใช้โมดูล iptables "ล่าสุด" หรือเพียงแค่ตัดสินใจว่าคุณไม่สนหรอกว่าคนอื่นจะพยายามบังคับใช้รหัสผ่านหรือไม่ ดูโพสต์เซิร์ฟเวอร์นี้ผิดพลาดสำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งเหล่านี้

— ไคล์แบรนด์
แหล่งที่มา

4

ทิศทาง Fail2Ban บอกว่าจะไม่แก้ไขไฟล์ใด ๆ.confและแทนการกำหนดค่าของคุณใน.localไฟล์ สิ่งนี้ทำให้การอัพเกรดง่ายขึ้นมากเนื่องจากไม่มีไฟล์ในเครื่องของคุณถูกเขียนทับ

— Chris S

Chris S: ขอบคุณสำหรับเคล็ดลับนั้น ... ฉันจะพยายามจดบันทึกจิตใจ :-)

— Kyle Brandt

3

ทุกครั้งที่ฉันเคยติดตั้ง denyhosts หรือ fail2ban ในสภาพแวดล้อมการใช้งานจริงมันได้สร้างการรับประกันตั๋วการร้องขอปลดล็อคคำขอรีเซ็ตรหัสผ่านคำขอเปลี่ยนการตั้งค่าหรือจัดการรายการที่อนุญาต ดูสิ่งต่าง ๆ และเรียนรู้เพิ่มเติมเกี่ยวกับสิ่งที่พวกเขาสามารถทำได้เอง

มันไม่ใช่ปัญหาทางเทคนิคกับเครื่องมือใด ๆ ก็ตาม แต่ถ้าผู้ใช้ของคุณมีจำนวนหลายสิบคนขึ้นไปมันจะเป็นสิ่งที่น่าทึ่งในการรองรับปริมาณงานและผู้ใช้ที่หงุดหงิด

นอกจากนี้ปัญหาที่พวกเขาแก้คือลดความเสี่ยงของการโจมตีแบบ SSH ความจริงแล้วความเสี่ยงนั้นน้อยมากตราบใดที่คุณมีนโยบายรหัสผ่านที่ดีพอสมควร

— cagenut
แหล่งที่มา

1

บนเซิร์ฟเวอร์ตัวสุดท้ายที่ฉันใส่ออนไลน์ฉันมี 30k คำขอเข้าสู่ระบบล้มเหลวในบันทึกของฉัน ... เพียงสามวัน! แม้จะมีนโยบายรหัสผ่านที่ดีเพียงเพื่อหลีกเลี่ยงการบันทึกขนาดใหญ่และเสียงรบกวนและความเสี่ยงนั้นเป็นเครื่องมือที่ดี ผมใช้ denyhosts และทำดีบิดของ config ไฟล์และอื่น ๆ ...

— Andor

1

ฉันกำหนดเกณฑ์การเข้าสู่ระบบที่ล้มเหลว 10 ครั้งใน 10 นาที (สำหรับ SSH, IMAP ฯลฯ ) และไม่เคยมีผู้ใช้ที่ได้รับอนุญาตถูกล็อค การตั้งค่าเริ่มต้นค่อนข้างแน่นและผู้ใช้จะเข้าใช้ทันทีแล้ว; ข้อ จำกัด ที่สูงกว่าโดยทั่วไปจะเป็นเพียงการพยายามบังคับให้เดรัจฉาน ซึ่งฉันเห็นด้วยไม่น่าเป็นไปได้ แต่ฉันก็เห็นด้วยกับอันดอร์ราว่าช่วยด้วยขนาดบันทึก

— Chris S

โอ้ไม่เสียพื้นที่ดิสก์

— 10 เมกะไบต์

2

ฉันใช้มาตั้งแต่สองสามปีและอย่างน้อยก็มีการป้องกันสคริปต์ kiddies ที่ดี
ไม่มีการเข้าสู่ระบบรากรวมทั้งรหัสผ่านที่ค่อนข้างยาวและสุ่มและ fail2ban และพอร์ตที่แตกต่างกันอาจเป็นเพราะเราส่วนใหญ่มีความปลอดภัยเพียงพอ
แน่นอนว่า ssh keys นั้นดีกว่าความปลอดภัยมาก

— เกลือกกลั้ว
แหล่งที่มา

0

ฉันใช้ denyhosts ในเซิร์ฟเวอร์ที่ใช้งานจริงและที่ไม่ได้ใช้งานหลายตัวของฉันและมันใช้งานได้ดีจริง ๆ (ฉันมีปัญหากับการซิงค์ daemon ดังนั้นฉันจึงไม่ใช้ตอนนี้ แต่อาจจะใช้งานได้ดีอีกครั้ง)

ไม่เพียง แต่ทำให้ระบบของคุณปลอดภัยยิ่งขึ้น แต่ยังช่วยให้คุณเก็บบันทึกที่สะอาดและเพียงแค่ป้องกันไม่ให้คนที่ไม่ต้องการออกจากหน้าจอเข้าสู่ระบบ ...

— Andor
แหล่งที่มา

0

ฉันใช้ Fail2Ban สักครู่แล้วและเมื่อไม่นานมานี้ฉันได้เห็นความพยายามแบบกระจายเพื่อบุกเข้าไปยังเซิร์ฟเวอร์ SSH ของฉัน พวกเขาจะไม่ประสบความสำเร็จตามอัตราการดำเนินการของพวกเขา แต่ฉันเฝ้าดูมัน

พวกเขากำลังผ่านพจนานุกรมแต่ละ IP พยายามสองครั้งหลังจากความพยายามเหล่านั้นล้มเหลว IP อื่นทำเช่นเดียวกัน ฯลฯ ฉันได้พิจารณาการห้าม IP ที่ลองใช้ชื่อผู้ใช้ที่ไม่รู้จัก x ครั้ง แต่จนถึงตอนนี้ฉันได้รับ IP ที่แตกต่างกันสองสามพันพยายามเข้าไป และฉันกังวลว่าแม้ว่าฉันจะปิดกั้นพวกเขาทั้งหมดจะยังคงมีมากขึ้น

— คริส
แหล่งที่มา