我对高级策略防火墙(APF)和Fail2Ban做了大量的研究。 我在SSH蛮力攻击下有一个VPS。 我倾向于APF,只允许我通过几个IP。 但是,我很乐意使用任何iP我想要的便利 – 这可能与Fail2Ban。
由于Fail2Ban扫描日志并写入IP表,有没有人有经验哪一个更好的安全性和VPS性能来节省资源? 我知道他们可以一起工作,但愿意select一个。
防火墙都是业界最好的,当select最好的时候,它是基于个人和环境的要求。
我更喜欢Fail2ban over APF,
默认情况下,fail2ban被configuration为使用iptables
Fail2ban向iptables添加一个链。
我们有configurationfail2ban的灵活性(你可以编写自己的警报和filter)来执行许多不同的操作,这使得它可以使用iptables,shorewall等。
对于大多数用户来说,服务本身是非常容易的,因为大多数困难的configuration已经为您处理好了。
configuration文件看起来更加有组织,并且其本质似乎允许更多的灵活性
但是,当您偏离标准configuration时,了解fail2ban函数如何以可预测的方式操纵其行为是有帮助的。
指定任何日志文件(apache,ssh,nginx,邮件服务器等)的path。
为攻击模式指定正则expression式(例如,在6秒内通过nginx访问日志上的相同ip发现超过10个“404错误”)
指定正则expression式来忽略某些模式(非常有用!)
指定禁止时间
发送电子邮件(或任何其他警报…)
注意:请花时间重新研究对您的环境最好的方法,因为所有更新都将基于环境的风险和定制。