ist fail2ban sicher? Besser SSH-Schlüssel verwenden?
11
Ich bin mir nicht sicher, ob ich bei der Anmeldung bei SSH die Schlüsselauthentifizierung verwenden oder einfach fail2ban + ssh wählen soll (Root-Anmeldung deaktiviert).
Ist fail2ban sicher oder ist es wirklich besser, einfach Schlüssel zu generieren und diese auf allen meinen Client-Computern zu konfigurieren, die eine Verbindung zu ssh herstellen müssen?
Ich halte es für ein stabiles Produkt und halte es für sicher. Als zusätzliche Vorsichtsmaßnahme würde ich Ihre Quell-IP-Adresse zur ignoreipDirektive in hinzufügen jails.conf, um sicherzustellen, dass Sie sich nicht blockieren.
Da die SSH-Protokolle analysiert werden, muss eine TCP-Sitzung eingerichtet werden, sodass es unwahrscheinlich erscheint, Quell-IPs zu fälschen und die richtigen TCP-Sequenznummern zu erhalten, um eine Art Backscatter-Variation zu erstellen.
Darüber hinaus ist es keine schlechte Idee, darüber hinaus Schlüssel zu verwenden. Andere Optionen, die helfen, sind das Verschieben von ssh auf eine nicht standardmäßige IP-Adresse, die Verwendung des "aktuellen" iptables-Moduls oder die Entscheidung, dass es Ihnen egal ist, ob Benutzer versuchen, Kennwörter brutal zu erzwingen. Weitere Informationen hierzu finden Sie in diesem Serverfehlerbeitrag .
Die Fail2Ban-Anweisungen besagen, dass Sie keine der .confDateien bearbeiten und stattdessen Ihre Konfigurationen in .localDateien ablegen sollen . Dies erleichtert auch Upgrades erheblich, da keine Ihrer lokalen Dateien überschrieben wird.
Chris S
Chris S: Danke für diesen Tipp ... Ich werde versuchen, mir eine mentale Notiz zu machen :-)
Kyle Brandt
3
Jedes Mal, wenn ich Denyhosts oder Fail2Ban in einer Produktionsumgebung implementiert habe, wurde ein garantierter Ticketstrom von Entsperranforderungen, Anforderungen zum Zurücksetzen von Kennwörtern, Anforderungen zum Ändern der Einstellungen oder zum Verwalten der Whitelist und im Allgemeinen nur von Personen erstellt, die die Anmeldung aufgeben Schauen Sie sich die Dinge an und stützen Sie sich mehr auf die Systemadministratoren, um Dinge zu finden, die sie selbst tun könnten.
Es ist kein technisches Problem mit beiden Tools an sich, aber wenn Ihre Benutzer Dutzende oder mehr zählen, wird dies zu einem spürbaren Anstieg der Support-Arbeitsbelastung und zu frustrierten Benutzern führen.
Das Problem, das sie lösen, ist auch, dass sie das Risiko von Brute-Force-SSH-Login-Angriffen verringern. Ehrlich gesagt ist das Risiko dafür unglaublich gering, solange Sie sogar eine mäßig anständige Passwortrichtlinie haben.
Auf dem letzten Server, den ich online gestellt habe, hatte ich 30.000 fehlgeschlagene Anmeldeanforderungen in meinen Protokollen ... nur in drei Tagen! Selbst mit einer guten Passwortrichtlinie ist es ein gutes Werkzeug, um große Protokolle und all das Rauschen und Risiko zu vermeiden. Ich benutze Denyhosts und mache eine gute Optimierung der Konfigurationsdateien und so ...
Andor
1
Ich habe den Schwellenwert auf 10 fehlgeschlagene Anmeldungen in 10 Minuten festgelegt (für SSH, IMAP usw.) und habe noch nie einen autorisierten Benutzer gesperrt. Die Standardeinstellungen sind etwas eng, und Benutzer treffen sie ab und zu. höhere Grenzwerte fangen im Allgemeinen nur Brute-Forcing-Versuche ab; was ich zustimme ist unwahrscheinlich, aber ich stimme auch Andor zu, dass es bei der Protokollgröße hilft.
Chris S
Oh nein, 10 MB verschwendeter Speicherplatz
Cagenut
2
Ich benutze seit einigen Jahren und ist zumindest ein guter Schutz gegen Script Kiddies.
Keine Root-Anmeldung sowie ziemlich lange und zufällige Passwörter und fail2ban und möglicherweise ein anderer Port sind für die meisten von uns ausreichend sicher.
Natürlich sind SSH-Schlüssel als Sicherheit viel besser.
Ich habe Denishhosts in mehreren meiner Produktions- und Nicht-Produktionsserver verwendet und es funktioniert wirklich gut (ich hatte Probleme mit der Daemon-Synchronisierung, daher verwende ich es jetzt nicht, aber vielleicht funktioniert es wieder gut).
Dies macht Ihr System nicht nur sicherer, sondern hilft Ihnen auch dabei, sauberere Protokolle zu führen und unerwünschte Personen einfach von Ihren Anmeldebildschirmen fernzuhalten ...
Ich habe Fail2Ban jetzt schon eine Weile ausgeführt und erst kürzlich habe ich verteilte Versuche gesehen, in meinen SSH-Server einzudringen. Sie werden nie so erfolgreich sein wie sie, aber ich habe es im Auge behalten.
Sie haben ein Wörterbuch durchlaufen, jede IP versucht es zweimal, nachdem diese Versuche fehlgeschlagen sind, macht eine andere IP dasselbe usw. Ich habe überlegt, IPs zu verbieten, die x-mal unbekannte Benutzernamen versuchen. Aber bis jetzt habe ich ein paar tausend verschiedene IPs bekommen, die versuchen einzusteigen; und ich mache mir Sorgen, dass es noch mehr geben wird, selbst wenn ich sie alle blockiere.
.conf
Dateien bearbeiten und stattdessen Ihre Konfigurationen in.local
Dateien ablegen sollen . Dies erleichtert auch Upgrades erheblich, da keine Ihrer lokalen Dateien überschrieben wird.Jedes Mal, wenn ich Denyhosts oder Fail2Ban in einer Produktionsumgebung implementiert habe, wurde ein garantierter Ticketstrom von Entsperranforderungen, Anforderungen zum Zurücksetzen von Kennwörtern, Anforderungen zum Ändern der Einstellungen oder zum Verwalten der Whitelist und im Allgemeinen nur von Personen erstellt, die die Anmeldung aufgeben Schauen Sie sich die Dinge an und stützen Sie sich mehr auf die Systemadministratoren, um Dinge zu finden, die sie selbst tun könnten.
Es ist kein technisches Problem mit beiden Tools an sich, aber wenn Ihre Benutzer Dutzende oder mehr zählen, wird dies zu einem spürbaren Anstieg der Support-Arbeitsbelastung und zu frustrierten Benutzern führen.
Das Problem, das sie lösen, ist auch, dass sie das Risiko von Brute-Force-SSH-Login-Angriffen verringern. Ehrlich gesagt ist das Risiko dafür unglaublich gering, solange Sie sogar eine mäßig anständige Passwortrichtlinie haben.
quelle
Ich benutze seit einigen Jahren und ist zumindest ein guter Schutz gegen Script Kiddies.
Keine Root-Anmeldung sowie ziemlich lange und zufällige Passwörter und fail2ban und möglicherweise ein anderer Port sind für die meisten von uns ausreichend sicher.
Natürlich sind SSH-Schlüssel als Sicherheit viel besser.
quelle
Ich habe Denishhosts in mehreren meiner Produktions- und Nicht-Produktionsserver verwendet und es funktioniert wirklich gut (ich hatte Probleme mit der Daemon-Synchronisierung, daher verwende ich es jetzt nicht, aber vielleicht funktioniert es wieder gut).
Dies macht Ihr System nicht nur sicherer, sondern hilft Ihnen auch dabei, sauberere Protokolle zu führen und unerwünschte Personen einfach von Ihren Anmeldebildschirmen fernzuhalten ...
quelle
Ich habe Fail2Ban jetzt schon eine Weile ausgeführt und erst kürzlich habe ich verteilte Versuche gesehen, in meinen SSH-Server einzudringen. Sie werden nie so erfolgreich sein wie sie, aber ich habe es im Auge behalten.
Sie haben ein Wörterbuch durchlaufen, jede IP versucht es zweimal, nachdem diese Versuche fehlgeschlagen sind, macht eine andere IP dasselbe usw. Ich habe überlegt, IPs zu verbieten, die x-mal unbekannte Benutzernamen versuchen. Aber bis jetzt habe ich ein paar tausend verschiedene IPs bekommen, die versuchen einzusteigen; und ich mache mir Sorgen, dass es noch mehr geben wird, selbst wenn ich sie alle blockiere.
quelle