我看到,当我创build我的AWS实例时,我select了只有我的IP地址才能访问我的服务器。 另外还有一个为您configuration的RSA密钥。 在这种情况下,我真的需要在服务器上安装fail2ban?
在这种情况下,我会说fail2ban是不需要的。
如果必须在pipe理程序(aws)防火墙中将pipe理服务公开到Internet,那么我只能使用fail2ban。 在你的情况下,除了你的IP地址以外的所有请求都将被丢弃。
有一件事要注意,如果你的IP地址改变(非静态),你将不得不更新aws安全组。
Fail2ban扫描日志文件以查找潜在的恶意操作,并禁止发生此类行为的IP地址。 一般情况下,Fail2Ban被用来启动一个动作,阻止来自该IP地址的后续(恶意)动作重复发生。
为防止以pipe理员身份被locking,您通常会将您自己的(pipe理)networking地址添加到fail2ban中的IP白名单 。
现在,如果您的服务器或服务遭到防火墙限制,只允许来自该白名单中相同的IP地址和/或networking,fail2ban将永远不会做任何事情,对吧?
使用Fail2ban的AWS防火墙的优点是API。 在API的帮助下,您可以在大量的实例中集中和自动pipe理您的防火墙规则,而使用fail2ban会使其更加困难。
在你的情况下,我将添加fail2ban的唯一原因是DROP试图无限期地连接到服务器上的孩子,并限制它为空服务的响应(如果你的服务器确实为那些试图连接的服务器生成拒绝答案)。
现在,您可能有充分的理由将IP列入白名单,但是在SSH上是相当安全的,只要您保持密钥私密(并且禁用根login是最好的)即可。 另外,在ssh上设置2因子authentication(例如使用Google 2FA),使用你的密码和一个“随机”生成的数字是很容易的。 将ssh列入白名单可能在某些时候变得不切实际!
所有的答案fail2ban是不必要的,因为AWS安全策略,有效的另一个防火墙。 但是,如果这种情况失败或者被错误地configuration,攻击就会进入.iptables / firewalld / ufw和fail2ban的组合是完全合理的,分层安全是一个重要的策略。 所以fail2ban(以及基本的防火墙configuration)仍然是一个好主意。
我想添加@tim所提到的,fail2ban(和其他类似的工具)可以提供比AWS安全策略更细的粒度,这似乎仅限于协议和IP地址范围。 例如,攻击性蜘蛛可以被阻止,以及尝试login的僵尸程序。 networking层的阻塞比networking服务器或networking应用(例如Wordpress)层更有效。