Gibt es einen Grund, fail2ban mit deaktivierten SSH-Kennwortanmeldungen zu verwenden?

8

Ich richte einen von Linode gehosteten Ubuntu-Server ein.

Ich gehe ihre Sicherheitsanleitung durch und sie empfehlen die Installation von fail2ban, nachdem die kennwortbasierten SSH-Anmeldungen deaktiviert wurden.

Ich sehe keinen Sinn darin, fail2ban zu installieren, wenn Wörterbuchangriffe mit SSH-Schlüsseln nicht möglich sind.

Vermisse ich hier etwas?

dbasch
quelle

Antworten:

3

Der einzig mögliche Vorteil ist, dass Sie wissen, dass die "angreifende" IP ein "Bösewicht" oder eine kompromittierte Maschine ist und wahrscheinlich sowieso nicht mit ihnen sprechen möchten. Es ist wahrscheinlich, dass sie andere Protokolle ausprobieren werden. Wenn Sie keine geöffnet haben, brauchen Sie sich keine Sorgen zu machen.

Dies kann die Bandbreite geringfügig reduzieren. Dies würde definitiv den Spam in Ihren Protokollen reduzieren (ich ändere meinen SSH-Port aus diesem Grund auf 2222; empfehle diese Taktik jedoch nicht, es sei denn, Sie haben eine kleine Gruppe von Administratoren, die auf die Box zugreifen).

Es ist technisch möglich, dass sie einen SSH-Schlüssel erraten, aber es ist völlig unrealistisch zu glauben, dass dies jemals passieren wird. Ich würde empfehlen, Ihre SSH-Schlüssel alle paar Jahre zu ändern (um sicherzustellen, dass Sie die "aktuelle" Technologie verwenden, und um die Dokumentation rund um das System zu überprüfen).

Chris S.
quelle
3

Botnet markiert Sie für eine Weile als nicht erreichbar (und greift in wenigen Stunden / Tagen erneut an). Es wird also den Verkehr auf Ihrem Link verringern, aber sowieso nicht so sehr :) Das ist meine Erfahrung, aber ich verwende keine fail2ban, sondern einfache iptablesRegel

-N SSH
-A INPUT -j SSH
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 240 --hitcount 5 --rttl --name SSH --rsource -j DROP
-A SSH -p tcp -m tcp --dport 22 -j ACCEPT
Ency
quelle
2

Fail2ban ist nicht nur für SSH-Brute-Force-Angriffe geeignet. Wenn Sie Apache, Postfix, Dovecot oder andere von Fail2ban unterstützte Dienste haben, können Sie diese Dienste schützen.

Sie können sogar eigene Filter und Regeln erstellen, die Ihren spezifischen Anforderungen entsprechen. Beispielsweise kann eine Java-Webanwendung, die sich protokolliert, um die fehlgeschlagenen Anmeldeversuche abzulegen, die IP-Adresse alle 10 Wiederholungen in den letzten 5 Minuten sperren und für eine Stunde sperren.

Ja, es gibt verschiedene Gründe, fail2ban zu verwenden, auch wenn ssh deaktiviert ist.

JorSol
quelle