SSH'ye giriş yaparken anahtar kimlik doğrulaması kullanmam veya sadece fail2ban + ssh (root girişi devre dışı) için gitmem gerektiğinden şüpheliyim.
Fail2ban güvenli midir yoksa ssh'ye bağlanması gereken tüm istemci makinelerimde anahtarlar üretip yapılandırmak gerçekten daha mı iyi?
Yanıtlar:
Ürünü istikrarlı bir ürün olarak görüyorum ve güvenli olarak görüyorum. Ek bir önlem olarak, kendinizi engellemediğinizden emin olmak için kaynak IP adresinizi ignoreipdirektife jails.confeklerim.
SSH günlüklerini ayrıştırdığından, kaynak IP'lerini taklit etmek için bir TCP oturumunun kurulması gerekecek ve bir tür geri saçılma varyasyonu oluşturmak için TCP sıra numaralarının doğru bir şekilde elde edilmesi olası görünmüyor.
Bunun üzerinde anahtarlar kullanmak da kötü bir fikir değil. Diğer seçenekler ssh'ı standart olmayan bir IP'ye taşımak, "son" iptables modülünü kullanmak veya sadece insanların şifreleri zorlamaya çalışıp çalışmadığını umursamaya karar vermektir. Bu sunucuya bakınBunlar hakkında daha fazla bilgi için .
Bir üretim ortamında denyhosts veya fail2ban'ı her uyguladığımda, kilit açma istekleri, şifre sıfırlama istekleri, ayarları değiştirme veya beyaz listeyi yönetme istekleri ve genellikle yalnızca giriş yapmaktan vazgeçen kişiler için garantili bir bilet akışı oluşturdu şeylere bakıp, kendilerini yapabildikleri şeyler için sistem yöneticilerine daha fazla yaslanın.
Bu, her iki araç için de teknik bir sorun değildir, ancak kullanıcılarınız düzinelerce veya daha büyük bir sayıya sahipse, destek iş yükünde ve sinirli kullanıcılarda fark edilir bir artış olacaktır.
Ayrıca, çözdükleri sorun, kaba kuvvet ssh giriş saldırıları riskinizi azaltmalarıdır. Dürüst olmak gerekirse, orta derecede iyi bir şifre politikasına sahip olduğunuz sürece bunun riski inanılmaz derecede küçüktür.
Üretim ve üretim dışı sunucularımın çoğunda denyhosts kullanıyorum ve gerçekten iyi çalışıyor (daemon sync ile ilgili problemlerim vardı, bu yüzden şimdi kullanmıyorum, ama yine de iyi çalışıyor).
Sisteminizi daha güvenli hale getirmekle kalmaz, aynı zamanda daha temiz günlükleri tutmanıza ve istenmeyen kişileri giriş ekranlarınızdan uzak tutmanıza yardımcı olur ...
Bir süredir Fail2Ban'ı çalıştırdım ve son zamanlarda SSH sunucuma dağılma girişimleri gördüm. Asla gittikleri oranda başarılı olamayacaklar, ama ben buna göz kulak oluyorum.
Bir sözlükten geçiyorlar, her IP iki kez deniyor, bu denemeler başarısız olduktan sonra başka bir IP aynı şeyi yapıyor, vb. Bilinmeyen kullanıcı adlarını x kez deneyen IP'leri yasaklamayı düşündüm. Ama şimdiye kadar içeri girmeye çalışan birkaç bin farklı IP aldım; ve hepsini engellesem bile daha fazlası olacağından endişeliyim.
.confdosyaların hiçbirini düzenlememeyi ve yapılandırmalarınızı.localdosyalara koymayı söylemez . Bu, yerel dosyalarınızın hiçbirinin üzerine yazılmadığı için yükseltmeleri çok daha kolay hale getirir.