Gần đây tôi đã phải làm việc với một số máy chủ có kết nối IPv6 và tôi đã rất ngạc nhiên khi biết rằng fail2ban không có hỗ trợ IPv6, cũng không có denyhosts. Tìm kiếm trên google tôi thấy rằng mọi người thường khuyên bạn nên:
- Vô hiệu hóa đăng nhập ssh qua IPv6 (không phải là giải pháp cho tôi)
- chỉ sử dụng xác thực khóa riêng / công khai trên máy chủ, không có xác thực mật khẩu (hoạt động, nhưng rất nhiều cuộc tấn công có thể khiến máy chủ tốn rất nhiều sức mạnh xử lý hoặc thậm chí có thể khiến DDoS không khả dụng)
- sử dụng ip6tables để chặn các cuộc tấn công liên tiếp từ cùng một IP
- sử dụng sshguard có hỗ trợ IPv6
Từ những gì tôi đã thu thập được cho đến nay, việc cấm các địa chỉ trong IPv6 khác một chút so với trên IPv4 vì các ISP không cung cấp cho người dùng một địa chỉ duy nhất (/ 128), mà là toàn bộ mạng con (tôi hiện có / 48). Do đó, việc cấm các địa chỉ IPv6 đơn lẻ sẽ không hiệu quả trước các cuộc tấn công. Tôi đã tìm kiếm cao và thấp về chủ đề ip6tables và sshguard chặn các mạng con khi phát hiện tấn công nhưng tôi không thể tìm thấy bất kỳ thông tin nào.
Có ai biết nếu sshguard cấm mạng con trong các cuộc tấn công IPv6 không?
Có ai biết cách tạo cấu hình ip6tables để cấm các mạng con trong các cuộc tấn công IPv6 không?
Hoặc có ai biết cách giảm nhẹ các cuộc tấn công tốt hơn những gì tôi đã tìm thấy không?
PS: Tôi đang sử dụng CentOS 7 trên hệ thống.