使用fail2ban来保护DigitalOcean上的Ubuntu 12.04 x64服务器,同时编辑/etc/fail2ban/jail.local还有这个部分:
[DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1/8
这是pipe理员将连接的IP,但如果pipe理员有一个dynamic的IP有没有解决scheme?
或者这只是打败了目的?
如果pipe理员将从dynamicIP连接,我可以想到3个不同的选项:
您最多可以将您的pipe理员所在的IP范围列入白名单,但是您很容易受到该范围内的攻击。 它仍然有帮助(最残酷的力量来自其他国家/ ISP),但不理想。
如果只是说不准,5次不正确的尝试,是真的有问题吗? 你的pipe理员多久会自行locking? 如果他们不记得密码,你可以看看SSH密钥?
Fail2ban是一个入侵防御软件框架,保护计算机服务器免受暴力攻击。 – 维基百科
ignoreip选项不适用于pipe理员连接,应该明智地使用。 例如,在私有networking中,您与其他用户位于不同的VLAN中,但即使如此,也不应该考虑(如果攻击者在您的VLAN中?)。
如果您知道服务器的密码,那么您将不会禁止自己,但是如果您失败了3次(或configuration了maxretry),请稍后重试(禁用时间秒)。
我强烈build议使用SSH密钥,因为它更安全。 并testing你的configuration,知道这是行不错的尝试无效的用户,密码无效等(是的,这意味着禁止自己)。