Tôi muốn chọn bộ não của cộng đồng về bảo mật máy chủ linux, đặc biệt là về các cuộc tấn công vũ phu và sử dụng fail2ban so với iptables tùy chỉnh .
Có một vài câu hỏi tương tự ngoài kia nhưng không ai trong số chúng giải quyết chủ đề cho sự hài lòng của tôi. Nói tóm lại, tôi đang cố gắng xác định giải pháp tốt nhất để bảo mật các máy chủ linux tiếp xúc với internet (chạy các dịch vụ thông thường, ssh, web, mail), khỏi các cuộc tấn công vũ phu.
Tôi có một xử lý tốt về bảo mật máy chủ, tức là khóa ssh bằng cách không cho phép đăng nhập root hoặc mật khẩu, thay đổi cổng mặc định, đảm bảo phần mềm được cập nhật, kiểm tra tệp nhật ký, chỉ cho phép một số máy chủ nhất định truy cập máy chủ và sử dụng bảo mật các công cụ kiểm toán như Lynis ( https://cisofy.com/lynis/ ), để tuân thủ bảo mật chung, vì vậy câu hỏi này không nhất thiết liên quan đến điều đó mặc dù đầu vào và lời khuyên luôn được hoan nghênh .
Câu hỏi của tôi là tôi nên sử dụng giải pháp nào (fail2ban hoặc iptables) và tôi nên cấu hình nó như thế nào, hay tôi nên sử dụng kết hợp cả hai để bảo vệ chống lại các cuộc tấn công vũ phu?
Có một câu trả lời thú vị liên quan đến chủ đề ( Denyhosts vs fail2ban vs iptables- cách tốt nhất để ngăn chặn đăng nhập vũ phu? ). Câu trả lời thú vị nhất đối với cá nhân tôi là ( https://serverfault.com/a/128964 ) và việc định tuyến iptables xảy ra trong kernel trái ngược với fail2ban, sử dụng các công cụ chế độ người dùng để phân tích các tệp nhật ký. Fail2ban sử dụng iptables tất nhiên, nhưng nó vẫn phải phân tích các tệp nhật ký và khớp với một mẫu cho đến khi nó thực hiện một hành động.
Việc sử dụng iptables và sử dụng giới hạn tỷ lệ có hợp lý không ( https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/ ) để bỏ yêu cầu từ IP trong một khoảng thời gian thời gian thực hiện quá nhiều lần thử kết nối trong một khoảng thời gian cụ thể bất kể giao thức đó đang cố kết nối với giao thức nào? Nếu vậy, có một số suy nghĩ thú vị về việc sử dụng drop vs từ chối cho các gói đó ở đây ( http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject ), bạn có suy nghĩ gì về điều đó không?
Fail2ban cho phép cấu hình tùy chỉnh ở dạng có thể viết ' quy tắc ' tùy chỉnh cho các dịch vụ có thể không được xử lý trong cấu hình mặc định. Thật dễ dàng để cài đặt và thiết lập và mạnh mẽ, nhưng có thể là quá mức nếu tất cả những gì tôi đang cố gắng đạt được là ' chặn ' IP khỏi máy chủ nếu họ thực hiện 2 lần truy cập không thành công trên bất kỳ dịch vụ / giao thức nào với số lượng x của thời gian?
Mục tiêu ở đây là để mở các báo cáo logwatch hàng ngày và không phải cuộn qua các trang đã cố gắng kết nối với máy chủ.
Cảm ơn đã dành thời gian.