มันคุ้มค่ากับความพยายามในการบล็อกความพยายามในการเข้าสู่ระบบที่ล้มเหลวหรือไม่

มันคุ้มค่าที่จะใช้fail2ban , sshdfilter หรือเครื่องมือที่คล้ายกันซึ่งบัญชีดำที่อยู่ IP ใดที่พยายามและไม่สามารถเข้าสู่ระบบได้

ฉันเห็นมันแย้งว่านี่เป็นโรงละครรักษาความปลอดภัยบนเซิร์ฟเวอร์ "ปลอดภัย" อย่างไรก็ตามฉันรู้สึกว่ามันอาจทำให้ kiddies สคริปต์ย้ายไปยังเซิร์ฟเวอร์ถัดไปในรายการของพวกเขา

สมมติว่าเซิร์ฟเวอร์ของฉัน "ปลอดภัย" และฉันไม่กังวลว่าการโจมตีด้วยเดรัจฉานจะสำเร็จจริง ๆ - เป็นเครื่องมือเหล่านี้เพียงทำให้ logfiles ของฉันสะอาดหรือฉันได้รับผลประโยชน์คุ้มค่าในการบล็อกการโจมตีด้วยกำลังดุร้าย?

อัปเดต : มีความคิดเห็นมากมายเกี่ยวกับการคาดเดารหัสผ่านเดรัจฉาน - ฉันพูดถึงว่าฉันไม่ได้กังวลเกี่ยวกับเรื่องนี้ บางทีฉันควรจะเจาะจงมากขึ้นและถามว่า fail2ban มีประโยชน์ใด ๆ สำหรับเซิร์ฟเวอร์ที่อนุญาตเฉพาะการล็อกอินที่ใช้คีย์ ssh เท่านั้น

การ จำกัด อัตราความพยายามในการเข้าสู่ระบบเป็นวิธีที่ง่ายในการป้องกันการโจมตีด้วยรหัสผ่านความเร็วสูง อย่างไรก็ตามมันยากที่จะ จำกัด การโจมตีแบบกระจายและวิ่งจำนวนมากในระดับต่ำในสัปดาห์หรือเป็นเดือน ฉันชอบหลีกเลี่ยงการใช้เครื่องมือตอบกลับอัตโนมัติเช่น fail2ban และนี่คือเหตุผลสองประการ:

1. ผู้ใช้ที่ถูกกฎหมายบางครั้งลืมรหัสผ่าน ฉันไม่ต้องการแบนผู้ใช้ที่ถูกกฎหมายจากเซิร์ฟเวอร์ของฉันบังคับให้ฉันเปิดใช้งานบัญชีของตนเองอีกครั้ง (หรือแย่กว่านั้นลองคิดดูว่าที่อยู่ใดที่ถูกแบน 100/1000 ไอพีนั้นเป็นของพวกเขา)
2. ที่อยู่ IP ไม่ใช่ตัวระบุที่ดีสำหรับผู้ใช้ หากคุณมีผู้ใช้หลายคนที่อยู่เบื้องหลัง IP เดียว (ตัวอย่างเช่นโรงเรียนที่ใช้ NAT กับเครื่องนักเรียน 500 เครื่อง) ผู้ใช้รายเดียวที่คาดเดาไม่ได้สองสามคนสามารถนำคุณไปสู่โลกแห่งความเจ็บปวด ในขณะเดียวกันความพยายามคาดเดารหัสผ่านส่วนใหญ่ที่ฉันเห็นมีการแจกจ่าย

ดังนั้นฉันจึงไม่พิจารณา fail2ban (และเครื่องมือตอบกลับอัตโนมัติที่คล้ายกัน) เป็นวิธีที่ดีมากในการรักษาความปลอดภัยเซิร์ฟเวอร์จากการโจมตีที่ดุร้าย กฎ IPTables ง่าย ๆ ที่ถูกตั้งค่าให้ลดลงในบันทึกสแปม (ซึ่งฉันมีอยู่ในเซิร์ฟเวอร์ linux ส่วนใหญ่ของฉัน) คือสิ่งนี้:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

มันป้องกันการพยายามเชื่อมต่อมากกว่า 4 ครั้งจาก IP เดียวไปยัง ssh ในช่วงเวลา 60 วินาทีใด ๆ ส่วนที่เหลือสามารถจัดการได้โดยมั่นใจว่ารหัสผ่านมีความแข็งแกร่งพอสมควร บนเซิร์ฟเวอร์ความปลอดภัยสูงบังคับให้ผู้ใช้ใช้การรับรองความถูกต้องของคีย์สาธารณะเป็นอีกวิธีหนึ่งที่จะหยุดการเดา

เครื่องมือเช่น fail2ban ช่วยลดทราฟฟิกเครือข่ายที่ไม่จำเป็นและทำให้ logfiles มีขนาดเล็กลงและสะอาดขึ้น มันไม่ใช่การรักษาความปลอดภัยที่ยิ่งใหญ่ แต่เป็นการทำให้ดูแลระบบง่ายขึ้นนิดหน่อย นั่นเป็นเหตุผลที่ฉันแนะนำอีกครั้งโดยใช้ fail2ban ในระบบที่คุณสามารถซื้อได้

มันไม่เพียงเกี่ยวกับการลดเสียงรบกวน แต่การโจมตี SSH ส่วนใหญ่พยายามที่จะคาดเดารหัสผ่านที่โหดเหี้ยม ดังนั้นในขณะที่คุณจะเห็นความพยายามที่ล้มเหลวของ ssh จำนวนมากบางทีตามเวลาที่ได้รับความพยายามครั้งที่ 2034 พวกเขาอาจได้รับชื่อผู้ใช้ / รหัสผ่านที่ถูกต้อง

สิ่งที่ดีเกี่ยวกับ fail2ban เมื่อเปรียบเทียบกับวิธีการอื่น ๆ คือมีผลน้อยที่สุดในการพยายามเชื่อมต่อที่ถูกต้อง

มันช่วยเครือข่ายของคุณจากการโจมตีที่ถูกปฏิเสธบ้างและประหยัดค่าใช้จ่ายในการประมวลผลความล้มเหลว

การไม่ได้เป็นเซิร์ฟเวอร์ที่อ่อนแอที่สุดในรายการ kiddies ของสคริปต์นั้นเป็นสิ่งที่ดีเสมอ

ขออภัย แต่ฉันจะบอกว่าเซิร์ฟเวอร์ของคุณมีความปลอดภัยอย่างถูกต้องหาก sshd ของคุณปฏิเสธที่จะพยายามตรวจสอบกับรหัสผ่าน

PasswordAuthentication no