fail2ban có an toàn không? Tốt hơn để sử dụng các phím ssh?

Tôi nghi ngờ liệu tôi có nên sử dụng xác thực khóa khi đăng nhập vào SSH hay chỉ dùng fail2ban + ssh (đăng nhập root bị vô hiệu hóa).

Fail2ban có an toàn không hay chỉ thực sự tốt hơn khi tiếp tục tạo các khóa và cấu hình trên tất cả các máy khách của tôi cần kết nối với ssh?

Tôi đánh giá nó là một sản phẩm ổn định và tôi coi nó là an toàn. Để phòng ngừa thêm, tôi sẽ thêm địa chỉ IP nguồn của bạn vào ignoreipchỉ thị jails.confđể đảm bảo bạn không tự chặn mình.

Vì nó phân tích cú pháp ssh, nên một phiên TCP sẽ phải được thiết lập để giả mạo IP nguồn và nhận được các số thứ tự TCP đúng để tạo ra một loại biến thể tán xạ ngược có vẻ khó xảy ra.

Sử dụng các phím trên đầu trang này cũng không phải là một ý tưởng tồi. Các tùy chọn khác giúp chuyển ssh sang IP không chuẩn, sử dụng mô-đun iptables "gần đây" hoặc chỉ quyết định bạn không quan tâm nếu mọi người cố gắng ép buộc mật khẩu. Xem bài đăng trên serverfault này để biết thêm về những điều này.

Mỗi lần tôi thực hiện denyhosts hoặc fail2ban trong môi trường sản xuất, nó đã tạo ra một luồng vé yêu cầu mở khóa, yêu cầu đặt lại mật khẩu, yêu cầu thay đổi cài đặt hoặc quản lý danh sách trắng và nói chung chỉ là những người từ bỏ đăng nhập vào nhìn vào mọi thứ và dựa nhiều hơn vào các sysadins cho những thứ họ có thể tự làm.

Đây không phải là vấn đề kỹ thuật với một trong hai công cụ, nhưng nếu số lượng người dùng của bạn lên tới hàng chục hoặc lớn hơn thì đó sẽ là một sự gia tăng đáng chú ý trong khối lượng công việc hỗ trợ và khiến người dùng thất vọng.

Ngoài ra, vấn đề họ giải quyết là họ giảm nguy cơ tấn công đăng nhập ssh của lực lượng vũ phu. Thành thật mà nói, rủi ro đó là vô cùng nhỏ miễn là bạn có chính sách mật khẩu vừa phải.

Tôi sử dụng từ vài năm nay và ít nhất là một sự bảo vệ tốt chống lại những đứa trẻ kịch bản.
Không có đăng nhập gốc, cộng với mật khẩu khá dài và ngẫu nhiên và fail2ban và có lẽ cổng khác nhau dành cho hầu hết chúng ta đủ an toàn.
Tất nhiên các phím ssh tốt hơn nhiều so với bảo mật.

Tôi đã sử dụng denyhost trong một số máy chủ sản xuất và không sản xuất của mình và nó hoạt động rất tốt (tôi gặp vấn đề với đồng bộ hóa daemon, vì vậy bây giờ tôi không sử dụng nó, nhưng có lẽ nó hoạt động tốt trở lại).

Không chỉ làm cho hệ thống của bạn an toàn hơn mà còn giúp bạn giữ nhật ký sạch hơn và đơn giản là tránh những người không mong muốn ra khỏi màn hình đăng nhập của bạn ...

Tôi đã chạy Fail2Ban được một lúc rồi và gần đây tôi đã thấy những nỗ lực phân tán để đột nhập vào máy chủ SSH của mình. Họ sẽ không bao giờ thành công với tốc độ của họ, nhưng tôi đã để mắt đến nó.

Họ đã trải qua một từ điển, mỗi IP thử hai lần, sau khi những lần thử đó thất bại, một IP khác cũng làm như vậy, v.v. Tôi đã xem xét việc cấm các IP thử tên người dùng không xác định x lần. Nhưng cho đến nay tôi đã nhận được một vài ngàn IP khác nhau đang cố gắng truy cập; và tôi lo ngại rằng ngay cả khi tôi chặn tất cả thì vẫn sẽ còn nhiều hơn thế.