Başarısız giriş denemelerini engellemek için çaba sarf etmeye değer mi

Onu değerli koşu mı fail2ban , sshdfilter veya benzeri aletler, hangi teşebbüs ve giriş başarısız kara liste IP adresleri?

Ben bunun "düzgün güvenli" bir sunucuda güvenlik tiyatrosu olduğunu iddia gördüm . Ancak, muhtemelen komut dosyası çocuklarının listelerindeki bir sonraki sunucuya geçmesini sağladığını hissediyorum.

Sunucumun "düzgün bir şekilde güvenli" olduğunu ve kaba kuvvet saldırısının gerçekten başarılı olacağından endişelenmiyorum - bu araçlar yalnızca günlük dosyalarımı temiz tutuyor mu yoksa kaba kuvvet saldırısı girişimlerini engellemede değerli bir fayda elde ediyor muyum?

Güncelleme : Şifrelerin kaba kuvvet tahminiyle ilgili birçok yorum - Bu konuda endişelenmediğimden bahsetmiştim. Belki de daha spesifik olmalı ve fail2ban'ın sadece anahtar tabanlı ssh oturumlarına izin veren bir sunucu için herhangi bir faydası olup olmadığını sordum.

Hız sınırlayıcı giriş denemeleri, bazı yüksek hızlı şifre tahmin saldırılarını önlemenin kolay bir yoludur. Ancak, dağıtılmış saldırıları sınırlamak zor ve birçoğu haftalar veya aylar boyunca düşük hızda koşuyor. Şahsen fail2ban gibi otomatik yanıt araçlarını kullanmaktan kaçınmayı tercih ediyorum. Ve bu iki nedenden dolayı:

1. Meşru kullanıcılar bazen şifrelerini unutur. Meşru kullanıcıları sunucumdan yasaklamak istemiyorum, hesaplarını tekrar manuel olarak etkinleştirmem için beni zorluyorum (ya da daha kötüsü, 100/1000 yasaklı IP adreslerinden hangilerinin onların olduğunu anlamaya çalışın).
2. IP adresi bir kullanıcı için iyi bir tanımlayıcı değildir. Tek bir IP'nin arkasında birden fazla kullanıcınız varsa (örneğin, 500 öğrenci makinesinde NAT çalıştıran bir okul), birkaç kötü tahmin yapan tek bir kullanıcı sizi bir acı dünyasına sokabilir. Aynı zamanda gördüğüm parola tahmin girişimlerinin çoğu dağıtılıyor.

Bu nedenle fail2ban'ı (ve benzer otomatik yanıt araçlarını) sunucuyu kaba kuvvet saldırılarına karşı korumak için çok iyi bir yaklaşım olarak görmüyorum. Günlük spam (ki benim linux sunucularımın çoğunda var) azaltmak için ayarlanmış basit bir IPTables kuralları şöyle:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Herhangi bir 60 saniyede bir tek IP'den ssh'a 4'ten fazla bağlantı denemesini önler. Gerisi, parolaların oldukça güçlü olmasını sağlayarak ele alınabilir. Yüksek güvenlikli sunucularda, kullanıcıları ortak anahtar kimlik doğrulamasını kullanmaya zorlamak, tahmin etmeyi durdurmanın başka bir yoludur.

Fail2ban gibi araçlar gereksiz ağ trafiğini azaltmaya ve günlük dosyalarını biraz daha küçük ve daha temiz tutmaya yardımcı olur. Her şey büyük bir güvenlik iyileştirmesi değildir, ancak sysadmin hayatını biraz daha kolaylaştırır; Bu yüzden bunu karşılayabileceğiniz sistemlerde fail2ban kullanarak öneriyoruz.

Bu sadece gürültüyü azaltmakla ilgili değil - çoğu ssh saldırısı parolalarda kaba kuvvet tahminleri yapmaya çalışıyor. Bu nedenle, birçok başarısız ssh denemesi göreceksiniz, ancak 2034 denemesini aldığında geçerli bir kullanıcı adı / şifre alabilirler.

Fail2ban ile ilgili diğer yaklaşımlara kıyasla güzel olan şey, geçerli bağlantı girişimleri üzerinde çok az etkiye sahip olmasıdır.

Bu, ağınızı bir şekilde inkar saldırılarına karşı korur ve arızaları işleme yükünü azaltır.

Bir komut dosyası listesi listesinde en zayıf sunucu olmamak her zaman iyi bir şeydir.

Maalesef, sshd'niz parolalarla kimlik doğrulama girişiminde bulunmazsa sunucunuzun düzgün şekilde güvenli olduğunu söyleyebilirim.

PasswordAuthentication no