Есть ли какая-либо причина использовать fail2ban с отключенными логинами паролей SSH?

Question

Есть ли какая-либо причина использовать fail2ban с отключенными логинами паролей SSH?

Я настраиваю сервер Ubuntu, размещенный на Linode.

Я прошагал по их руководству по безопасности, и они рекомендуют установить fail2ban после отключения парольных входов SSH.

Я не вижу смысла в установке fail2ban, если словарные атаки невозможны с ключами SSH.

Я что-то здесь упускаю?

10

ssh ubuntu-12.04 ssh-keys fail2ban linode

Источник

dbasch 07 май '13 в 12:49

3 ответа

Решение

Ботнет пометит вас как недостижимого (и снова начнет атаку через несколько часов / дней). Так что это снизит трафик по вашей ссылке, но не так сильно:) Это мой опыт, но я не использую fail2ban, но просто iptables правило

-N SSH
-A INPUT -j SSH
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 240 --hitcount 5 --rttl --name SSH --rsource -j DROP
-A SSH -p tcp -m tcp --dport 22 -j ACCEPT

3

Источник

Ency 07 май '13 в 13:04

Fail2ban не только для ssh-переборов. Если у вас есть Apache, Postfix, Dovecot или другие службы, поддерживаемые Fail2ban, вы можете защитить эти службы.

Вы даже можете создавать свои собственные фильтры и правила, которые соответствуют вашим конкретным потребностям, например, веб-приложение Java, которое регистрирует файлы для неудачных попыток входа в систему, может блокировать ip каждые 10 попыток в течение последних 5 минут и блокировать его на час.

Так что да, есть разные причины использовать fail2ban, даже если ssh отключен.

2

Источник

JorSol 09 июл '15 в 05:38

Другие вопросы по тегам ssh ubuntu-12.04 ssh-keys fail2ban linode

Chris S 07 май '13 в 13:04 2013-05-07 13:04 · Accepted Answer · 2013-05-07 13:04

Единственное возможное преимущество заключается в том, что вы знаете, что "атакующий" IP - это "плохой парень" или взломанная машина, и, вероятно, в любом случае не хотите с ними разговаривать. Вероятно, они попробуют другие протоколы. Если у вас нет открытых, беспокоиться не о чем.

Это может немного уменьшить пропускную способность. Это определенно уменьшило бы спам в ваших журналах (по этой причине я изменяю свой порт SSH на 2222; но не рекомендую эту тактику, если у вас нет небольшой группы администраторов, получающих доступ к этому блоку).

Технически возможно, что они могут угадать SSH-ключ, но совершенно нереально думать, что это когда-нибудь случится. Я бы порекомендовал менять ваши SSH-ключи каждые несколько лет (чтобы убедиться, что вы используете "текущую" технологию, а также для проверки документации, касающейся системы).