是fail2ban安全吗? 最好使用SSH密钥?

我怀疑在login到SSH时是否应该使用密钥身份validation,或者只是去fail2ban + ssh(禁用rootlogin)。

是fail2ban安全还是真的更好的是继续前进,并生成密钥和configuration所有我的客户端机器上需要连接到SSH?

我认为它是一个稳定的产品,我认为它是安全的。 作为一个额外的预防措施,我会将您的源IP地址添加到ignoreip中的jails.conf指令,以确保您不会阻止自己。

由于它parsingssh日志,所以必须build立一个TCP会话,这样欺骗源IP并获得TCP序列号才能创build一种反向散射变化似乎是不太可能的。

在这上面使用键也不是一个坏主意。 其他选项有助于将ssh移动到非标准IP,使用“最近的”iptables模块,或者只是决定你不在乎人们是否试图暴力破解密码。 看到这个serverfault文章更多的这些。

每次我在生产环境中实现了denyhosts或fail2ban,它都创build了一个保证的解锁请求,密码重置请求,更改设置或pipe理白名单的请求stream,一般只是放弃login看看事情,并更多地依靠系统pipe理员为自己可以做的事情。

它不是任何工具的技术问题,但如果你的用户数量在几十个或更多,它将成为支持工作量和受挫用户的显着提升。

而且,他们解决的问题是他们减less了蛮力sshlogin攻击的风险。 老实说,只要你有一个适度的密码政策,这个风险是非常小的。

我用了几年,至less对脚本小子是一个很好的保护。
没有根login,加上相当长的随机密码和fail2ban,也许不同的端口是我们大多数人足够安全。
当然,ssh密钥的安全性要好得多。

我已经在我的几个生产服务器和非生产服务器中使用了denyhosts,并且它工作得很好(我在守护进程同步方面遇到了问题,所以现在我不使用它,但也许它工作的很好)。

不仅可以让您的系统更安全,而且可以帮助您保持清洁日志,避免不必要的人员进入您的login屏幕。

我已经运行了一段时间Fail2Ban,最近我看到分布式尝试打入我的SSH服务器。 他们不会以他们的速度成功,但我一直在关注它。

他们已经经历了一个字典,每个IP尝试两次,在这些尝试失败后,另一个IP也是如此,等等。我曾经考虑过禁止尝试使用未知用户名的IP地址x次。 但到目前为止,我已经获得了几千个不同的IP地址, 而且我担心,即使我阻止了他们,还会有更多。