Есть ли смысл использовать Denyhosts для SSH, когда в любом случае разрешен только вход через RSA?
Итак, если я могу использовать только SSH в своем компьютере, настроив соответствующие ключи RSA, есть ли смысл также использовать Denyhosts для SSH? Или Denyhosts только смотрит на интерактивные клавиатуры и пароли для SSH?
Не поймите меня неправильно, Denyhosts - абсолютный Mac-папа, но я недавно совсем отключил интерактивные логины с клавиатуры и подумал, стоит ли продолжать поддерживать Denyhosts.
(Если вы не знаете Denyhosts, он в основном поддерживает - и использует - черный список IP-адресов людей, которые продолжают пытаться войти в SSH, но с неправильным именем пользователя / паролем и т. Д.)
4 ответа
Насколько я понимаю, есть две причины продолжать использовать DenyHosts:
- Обработка сбоя при входе в систему по-прежнему требует ресурсов, поэтому использование этого позволяет снизить это.
- Ваши лог-файлы с DenyHosts будут намного меньше, чем ваши лог-файлы без него.
Если что-то из этого для вас не имеет значения, то DenyHosts ничего для вас не делает.
Это сводит к минимуму "плохой актер / человек" от хлопания дополнительных ресурсов.
Чтобы добавить к другим ответам, есть одно слово предостережения, с которым я столкнулся (в форме уведомления на ArchWiki), когда читал о таких инструментах, как denyhosts (например, Fail2ban):
Предупреждение. Использование черного списка IP-адресов остановит тривиальные атаки, но оно зависит от дополнительного демона и успешного ведения журнала (раздел, содержащий /var, может заполниться, особенно если злоумышленник набрасывается на сервер). Кроме того, если злоумышленник знает ваш IP-адрес, он может отправлять пакеты с поддельным заголовком источника и блокировать вас с сервера....
Поэтому, особенно если вы разрешаете только аутентификацию с открытым ключом, возможно, стоит подумать об использовании нестандартного порта (чтобы избежать слепых атак на порт 22) и намеренно не использовать denyhosts.
Зависит от других сервисов, работающих на этом ящике. Если это веб-сервер с интернет-магазином, вы можете потерять бизнес из-за неправильно запрещенного хоста - хотя это кажется маловероятным, особенно если вы используете только свои собственные данные denyhost.
С другой стороны, если вы используете другие сервисы, которые могут быть менее безопасными, чем заблокированный ssh-сервер - возможно, стоит отказать в защите других сервисов, если злоумышленник устает от вашего ssh или действительно, если вы используете общие данные.
Короче говоря, если вы не беспокоитесь о ложных срабатываниях (например, у людей, которые могут не получить доступ к серверу, есть другой способ связаться с вами, и это не повредит никаким отношениям с ними!), То нет никаких причин не делать этого. продолжайте отказывать хозяевам. Также это весело;)