Có đáng nỗ lực để chặn các lần đăng nhập thất bại

Có đáng để chạy fail2ban , sshdfilter hoặc các công cụ tương tự, danh sách đen nào có địa chỉ IP nào cố gắng và không đăng nhập không?

Tôi đã thấy nó lập luận rằng đây là nhà hát bảo mật trên một máy chủ "được bảo mật đúng cách". Tuy nhiên, tôi cảm thấy rằng nó có thể làm cho các kiddies script chuyển sang máy chủ tiếp theo trong danh sách của họ.

Chúng ta hãy nói rằng máy chủ của tôi được "bảo mật đúng cách" và tôi không lo lắng rằng một cuộc tấn công vũ phu sẽ thực sự thành công - những công cụ này chỉ đơn giản là giữ cho các logfile của tôi sạch sẽ, hay tôi có nhận được bất kỳ lợi ích đáng giá nào trong việc ngăn chặn các nỗ lực tấn công vũ phu không?

Cập nhật : Rất nhiều ý kiến ​​về việc đoán mật khẩu - tôi đã đề cập rằng tôi không lo lắng về điều này. Có lẽ tôi nên cụ thể hơn và hỏi liệu fail2ban có bất kỳ lợi ích nào cho máy chủ chỉ cho phép đăng nhập ssh dựa trên khóa hay không.

Tỷ lệ giới hạn các lần thử đăng nhập là một cách dễ dàng để ngăn chặn một số cuộc tấn công đoán mật khẩu tốc độ cao. Tuy nhiên, thật khó để hạn chế các cuộc tấn công phân tán và nhiều cuộc chạy với tốc độ thấp trong nhiều tuần hoặc nhiều tháng. Cá nhân tôi thích tránh sử dụng các công cụ phản hồi tự động như fail2ban. Và đây là vì hai lý do:

1. Người dùng hợp pháp đôi khi quên mật khẩu của họ. Tôi không muốn cấm người dùng hợp pháp khỏi máy chủ của mình, buộc tôi phải kích hoạt lại tài khoản của họ một cách thủ công (hoặc tệ hơn, cố gắng tìm ra địa chỉ nào trong số 100/1000 địa chỉ IP bị cấm là của họ).
2. Địa chỉ IP không phải là một định danh tốt cho người dùng. Nếu bạn có nhiều người dùng đằng sau một IP duy nhất (ví dụ: một trường chạy NAT trên 500 máy sinh viên), một người dùng đưa ra một số dự đoán xấu có thể đưa bạn vào thế giới đau khổ. Đồng thời, phần lớn các nỗ lực đoán mật khẩu mà tôi thấy được phân phối.

Do đó, tôi không coi fail2ban (và các công cụ phản hồi tự động tương tự) là cách tiếp cận rất tốt để bảo vệ máy chủ chống lại các cuộc tấn công vũ phu. Một quy tắc IPTables đơn giản được thiết lập để cắt giảm thư rác đăng nhập (mà tôi có trên hầu hết các máy chủ linux của mình) là như thế này:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Nó ngăn chặn hơn 4 lần thử kết nối từ một IP đến ssh trong bất kỳ khoảng thời gian 60 giây nào. Phần còn lại có thể được xử lý bằng cách đảm bảo mật khẩu mạnh hợp lý. Trên các máy chủ bảo mật cao buộc người dùng sử dụng xác thực khóa chung là một cách khác để ngừng đoán.

Các công cụ như fail2ban giúp giảm lưu lượng mạng không cần thiết và để giữ các logfiles nhỏ hơn và sạch hơn một chút. Nó không phải là một bảo mật lớn chữa lành tất cả, nhưng làm cho cuộc sống sysadmin dễ dàng hơn một chút; đó là lý do tại sao tôi khuyên bạn nên sử dụng fail2ban trên các hệ thống mà bạn có thể mua được.

Nó không chỉ là về việc cắt giảm tiếng ồn - hầu hết các cuộc tấn công ssh đều cố gắng để đoán những mật khẩu. Vì vậy, trong khi bạn sẽ thấy rất nhiều lần thử ssh không thành công, có thể đến lần thử thứ 2034, họ có thể nhận được tên người dùng / mật khẩu hợp lệ.

Điều hay ho về fail2ban so với các cách tiếp cận khác là nó có hiệu quả tối thiểu đối với các nỗ lực kết nối hợp lệ.

Chà, nó tiết kiệm mạng của bạn khỏi các cuộc tấn công từ chối phần nào, và tiết kiệm chi phí xử lý các lỗi.

Không phải là máy chủ yếu nhất trong danh sách kiddies script luôn là một điều tốt.

Xin lỗi, nhưng tôi muốn nói rằng máy chủ của bạn được bảo mật đúng cách nếu sshd của bạn từ chối các nỗ lực xác thực bằng mật khẩu.

PasswordAuthentication no