неудобно? Лучше использовать клавиши ssh?

Я сомневаюсь, что я должен использовать аутентификацию ключа при входе в SSH, или просто пойти для fail2ban + ssh (root отключен).

Является ли fail2ban безопасным или действительно лучше просто продолжать и генерировать ключи и конфигурацию, которые на всех моих клиентских машинах, которые нужно подключиться к ssh?

11 голосов | спросил solsol 22 J0000006Europe/Moscow 2010, 18:31:35

5 ответов


11

Я считаю это стабильным продуктом, и считаю это безопасным. В качестве дополнительной меры предосторожности я бы добавил ваш IP-адрес источника в директиву ignoreip в jails.conf, чтобы убедиться, что вы не блокируете себя.

Поскольку он анализирует журналы ssh, необходимо будет установить сеанс TCP, чтобы спуфинг исходных IP-адресов и получение номеров последовательностей TCP для создания своего рода обратного рассеяния кажется маловероятным.

Использование клавиш поверх этого тоже неплохая идея. Другие варианты, которые помогают, перемещают ssh на нестандартный IP-адрес, используя «последний» модуль iptables или просто решая, что вас не волнует, пытаются ли люди пароли перебора принудительной работы. Подробнее см. это сообщение об ошибке сервера .

ответил Kyle Brandt 22 J0000006Europe/Moscow 2010, 18:38:51
3

Каждый раз, когда я когда-либо реализовывал denyhosts или fail2ban в производственной среде, он создал гарантированный билет-поток запросов на разблокировку, запросы сброса пароля, запросы на изменение настроек или управление «белым списком», и в целом просто люди, которые сдаются заглядывать в вещи и больше полагаться на системных администраторов за то, что они могут сделать сами.

Это не техническая проблема с любым инструментом, но если ваши пользователи будут десятки или больше, это будет заметный всплеск нагрузки на поддержку и разочарование пользователей.

Кроме того, проблема, которую они решают, заключается в том, что они уменьшают риск атаки ssh для грубой силы. Честно говоря, риск этого невероятно мал, если у вас даже умеренно приличная политика паролей.

ответил cagenut 22 J0000006Europe/Moscow 2010, 19:50:27
2

Я использую с тех пор несколько лет и, по крайней мере, являюсь хорошей защитой от детей-сценаристов.
Нет корневого входа, плюс довольно длинные и случайные пароли и fail2ban, и, возможно, другой порт для большинства из нас достаточно безопасен.
Конечно, ключи ssh намного лучше, чем безопасность.

ответил PiL 22 J0000006Europe/Moscow 2010, 18:49:35
0

Я использую denyhosts на нескольких моих производственных и непроизводственных серверах, и он отлично работает (у меня были проблемы с синхронизацией daemon, поэтому я не использую его сейчас, но, возможно, он снова работает отлично).

Не только делает вашу систему более безопасной, но и помогает вам сохранять журналы с более чистым доступом и просто удалять нежелательных людей из ваших экранов входа в систему ...

ответил Andor 22 J0000006Europe/Moscow 2010, 19:43:03
0

Я запустил Fail2Ban на некоторое время, и совсем недавно я видел распространенные попытки проникнуть на мой SSH-сервер. Им не удастся добиться успеха, но я слежу за ним.

Они просматривают словарь, каждый IP пытается дважды, после того, как эти попытки выходят из строя, другой IP делает то же самое и т. д. Я рассмотрел возможность запрета IP-адресов, которые простаивают неизвестные имена пользователей x раз. Но до сих пор я получил несколько тысяч разных IP-адресов, пытающихся войти; и я обеспокоен тем, что даже если я их заблокирую, все равно будет еще больше.

ответил Chris S 22 J0000006Europe/Moscow 2010, 19:51:02

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132