我正在build立由Linode托pipe的Ubuntu服务器。
我逐步介绍了他们的安全指南,他们build议在禁用基于密码的SSHlogin后安装fail2ban。
如果字典攻击无法通过SSH密钥进行,我在安装fail2ban时看不到这一点。
我在这里错过了什么?
唯一可能的好处是,你知道“攻击”IP是一个“坏人”或受损机器,可能不想和他们谈话。 他们可能会尝试其他协议。 如果你没有开放,没有什么可担心的。
它可能会略微减less带宽。 这肯定会减less日志中的垃圾邮件(由于这个原因,我将SSH端口更改为2222;但是除非您有一小组pipe理员访问该框,否则不build议使用此策略)。
从技术上来说,他们可以猜测一个SSH密钥,但完全不现实的想法会发生。 我build议每隔几年更改SSH密钥(以确保您使用“当前”技术,并validation系统周围的文档)。
僵尸networking将标记为无法访问一段时间(并在几个小时/天内再次开始攻击)。 所以它会降低你的链路stream量,但不是那么多:)这是我的经验,但我没有使用fail2ban ,但简单的iptables规则
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 240 --hitcount 5 --rttl --name SSH --rsource -j DROP -A SSH -p tcp -m tcp --dport 22 -j ACCEPT
Fail2ban不仅适用于ssh暴力攻击。 如果您有Apache,Postfix,Dovecot或Fail2ban支持的其他服务,那么您可以保护这些服务。
您甚至可以创build自己的filter和规则来满足您的特定需求,例如,一个Java Web应用程序logging失败的login尝试可以在过去5分钟内每10次禁止一次IP,并禁止一小时。
所以是的,即使ssh被禁用,使用fail2ban也有各种各样的原因。