มันคุ้มค่ากับความพยายามในการบล็อกความพยายามในการเข้าสู่ระบบที่ล้มเหลวหรือไม่


15

มันคุ้มค่าที่จะใช้fail2ban , sshdfilter หรือเครื่องมือที่คล้ายกันซึ่งบัญชีดำที่อยู่ IP ใดที่พยายามและไม่สามารถเข้าสู่ระบบได้

ฉันเห็นมันแย้งว่านี่เป็นโรงละครรักษาความปลอดภัยบนเซิร์ฟเวอร์ "ปลอดภัย" อย่างไรก็ตามฉันรู้สึกว่ามันอาจทำให้ kiddies สคริปต์ย้ายไปยังเซิร์ฟเวอร์ถัดไปในรายการของพวกเขา

สมมติว่าเซิร์ฟเวอร์ของฉัน "ปลอดภัย" และฉันไม่กังวลว่าการโจมตีด้วยเดรัจฉานจะสำเร็จจริง ๆ - เป็นเครื่องมือเหล่านี้เพียงทำให้ logfiles ของฉันสะอาดหรือฉันได้รับผลประโยชน์คุ้มค่าในการบล็อกการโจมตีด้วยกำลังดุร้าย?

อัปเดต : มีความคิดเห็นมากมายเกี่ยวกับการคาดเดารหัสผ่านเดรัจฉาน - ฉันพูดถึงว่าฉันไม่ได้กังวลเกี่ยวกับเรื่องนี้ บางทีฉันควรจะเจาะจงมากขึ้นและถามว่า fail2ban มีประโยชน์ใด ๆ สำหรับเซิร์ฟเวอร์ที่อนุญาตเฉพาะการล็อกอินที่ใช้คีย์ ssh เท่านั้น


2
คำตอบนั้นไม่ใช่ข้อโต้แย้งที่เหมาะสมและไม่ได้อ้างว่า Fail2Ban เป็นโรงละครรักษาความปลอดภัย Fail2Ban เป็นเลเยอร์มันไม่ได้เป็นการรักษาทั้งหมดเพียงพอด้วยตัวเองหรือไม่จำเป็น กลไกการเข้าสู่ระบบใด ๆ ควรมีวิธี จำกัด อัตราเพื่อป้องกันการโจมตีแบบเดรัจฉานและการโจมตีที่คล้ายกัน (ไม่มีข้อแก้ตัวใด ๆ ที่อนุญาตให้เซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตถูกบังคับให้ทำงานแบบไร้เดียงสา วิธีที่คุณเลือกรับอัตรา จำกัด นั้นเป็นตัวเลือกของคุณ
Chris S

คำตอบ:


18

การ จำกัด อัตราความพยายามในการเข้าสู่ระบบเป็นวิธีที่ง่ายในการป้องกันการโจมตีด้วยรหัสผ่านความเร็วสูง อย่างไรก็ตามมันยากที่จะ จำกัด การโจมตีแบบกระจายและวิ่งจำนวนมากในระดับต่ำในสัปดาห์หรือเป็นเดือน ฉันชอบหลีกเลี่ยงการใช้เครื่องมือตอบกลับอัตโนมัติเช่น fail2ban และนี่คือเหตุผลสองประการ:

  1. ผู้ใช้ที่ถูกกฎหมายบางครั้งลืมรหัสผ่าน ฉันไม่ต้องการแบนผู้ใช้ที่ถูกกฎหมายจากเซิร์ฟเวอร์ของฉันบังคับให้ฉันเปิดใช้งานบัญชีของตนเองอีกครั้ง (หรือแย่กว่านั้นลองคิดดูว่าที่อยู่ใดที่ถูกแบน 100/1000 ไอพีนั้นเป็นของพวกเขา)
  2. ที่อยู่ IP ไม่ใช่ตัวระบุที่ดีสำหรับผู้ใช้ หากคุณมีผู้ใช้หลายคนที่อยู่เบื้องหลัง IP เดียว (ตัวอย่างเช่นโรงเรียนที่ใช้ NAT กับเครื่องนักเรียน 500 เครื่อง) ผู้ใช้รายเดียวที่คาดเดาไม่ได้สองสามคนสามารถนำคุณไปสู่โลกแห่งความเจ็บปวด ในขณะเดียวกันความพยายามคาดเดารหัสผ่านส่วนใหญ่ที่ฉันเห็นมีการแจกจ่าย

ดังนั้นฉันจึงไม่พิจารณา fail2ban (และเครื่องมือตอบกลับอัตโนมัติที่คล้ายกัน) เป็นวิธีที่ดีมากในการรักษาความปลอดภัยเซิร์ฟเวอร์จากการโจมตีที่ดุร้าย กฎ IPTables ง่าย ๆ ที่ถูกตั้งค่าให้ลดลงในบันทึกสแปม (ซึ่งฉันมีอยู่ในเซิร์ฟเวอร์ linux ส่วนใหญ่ของฉัน) คือสิ่งนี้:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

มันป้องกันการพยายามเชื่อมต่อมากกว่า 4 ครั้งจาก IP เดียวไปยัง ssh ในช่วงเวลา 60 วินาทีใด ๆ ส่วนที่เหลือสามารถจัดการได้โดยมั่นใจว่ารหัสผ่านมีความแข็งแกร่งพอสมควร บนเซิร์ฟเวอร์ความปลอดภัยสูงบังคับให้ผู้ใช้ใช้การรับรองความถูกต้องของคีย์สาธารณะเป็นอีกวิธีหนึ่งที่จะหยุดการเดา


1
+1 สำหรับการแนะนำกลไกอื่น
dunxd

7

เครื่องมือเช่น fail2ban ช่วยลดทราฟฟิกเครือข่ายที่ไม่จำเป็นและทำให้ logfiles มีขนาดเล็กลงและสะอาดขึ้น มันไม่ใช่การรักษาความปลอดภัยที่ยิ่งใหญ่ แต่เป็นการทำให้ดูแลระบบง่ายขึ้นนิดหน่อย นั่นเป็นเหตุผลที่ฉันแนะนำอีกครั้งโดยใช้ fail2ban ในระบบที่คุณสามารถซื้อได้


4

มันไม่เพียงเกี่ยวกับการลดเสียงรบกวน แต่การโจมตี SSH ส่วนใหญ่พยายามที่จะคาดเดารหัสผ่านที่โหดเหี้ยม ดังนั้นในขณะที่คุณจะเห็นความพยายามที่ล้มเหลวของ ssh จำนวนมากบางทีตามเวลาที่ได้รับความพยายามครั้งที่ 2034 พวกเขาอาจได้รับชื่อผู้ใช้ / รหัสผ่านที่ถูกต้อง

สิ่งที่ดีเกี่ยวกับ fail2ban เมื่อเปรียบเทียบกับวิธีการอื่น ๆ คือมีผลน้อยที่สุดในการพยายามเชื่อมต่อที่ถูกต้อง


1

มันช่วยเครือข่ายของคุณจากการโจมตีที่ถูกปฏิเสธบ้างและประหยัดค่าใช้จ่ายในการประมวลผลความล้มเหลว

การไม่ได้เป็นเซิร์ฟเวอร์ที่อ่อนแอที่สุดในรายการ kiddies ของสคริปต์นั้นเป็นสิ่งที่ดีเสมอ


0

ขออภัย แต่ฉันจะบอกว่าเซิร์ฟเวอร์ของคุณมีความปลอดภัยอย่างถูกต้องหาก sshd ของคุณปฏิเสธที่จะพยายามตรวจสอบกับรหัสผ่าน

PasswordAuthentication no

1
-1, การปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่านครั้งแรกไม่ใช่ตัวเลือกเสมอไป ประการที่สอง Fail2Ban สามารถครอบคลุมมากกว่า SSHd ฉันใช้สำหรับ SMTP / IMAP, DNS, การเข้าสู่ระบบ HTTP และบริการอื่น ๆ ไม่มีการรักษาเลยและก็ไม่จำเป็น แต่ก็มีประโยชน์มาก
Chris S

:-) ฉันไม่ได้พูดว่า "ถ้าเพียง แต่ถ้า" ใช่ fail2ban นั้นมีประโยชน์มากจริง ๆ แต่มันไม่สามารถป้องกันรหัสผ่านที่ถูกขโมยไหล่หรือเช่นนั้น และแน่นอนใช่! - การปิดใช้งานการรับรองความถูกต้องไม่ใช่ตัวเลือกเสมอไป แต่ฉันอยากจะแนะนำให้หาวิธีที่จะทำให้มันเป็นตัวเลือก
น้ำตาล
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.