Apakah fail2ban aman? Lebih baik menggunakan kunci ssh?
11
Saya ragu apakah saya harus menggunakan otentikasi kunci ketika masuk ke SSH, atau hanya pergi untuk fail2ban + ssh (login root dinonaktifkan).
Apakah fail2ban aman atau apakah lebih baik langsung saja membuat kunci dan mengonfigurasi itu pada semua mesin klien saya yang perlu terhubung ke ssh?
Saya menilai itu sebagai produk yang stabil dan saya menganggapnya aman. Sebagai tindakan pencegahan tambahan saya akan menambahkan alamat IP sumber Anda ke ignoreiparahan dalam jails.confuntuk memastikan Anda tidak memblokir diri Anda sendiri.
Karena ia mem-parsing ssh log sesi TCP akan harus ditetapkan sehingga spoofing IP sumber dan mendapatkan nomor sekuens TCP yang tepat untuk membuat semacam variasi backscatter tampaknya tidak mungkin.
Menggunakan kunci di atas ini juga bukan ide yang buruk. Opsi lain yang membantu adalah memindahkan ssh ke IP yang tidak standar, menggunakan modul iptables "baru-baru ini", atau hanya memutuskan Anda tidak peduli jika orang mencoba kasar memaksa kata sandi. Lihat posting serverfault ini untuk lebih lanjut tentang ini.
Petunjuk Fail2Ban mengatakan untuk tidak mengedit .conffile apa pun dan alih-alih menaruh konfigurasi Anda dalam .localfile. Ini juga membuat upgrade lebih mudah, karena tidak ada file lokal Anda yang ditimpa.
Chris S
Chris S: Terima kasih atas tipnya ... Saya akan berusaha membuat catatan mental :-)
Kyle Brandt
3
Setiap kali saya menerapkan denyhosts atau fail2ban dalam lingkungan produksi, ia telah membuat aliran tiket dijamin dari permintaan pembuka kunci, permintaan pengaturan ulang kata sandi, permintaan untuk mengubah pengaturan atau mengelola daftar putih, dan umumnya hanya orang yang menyerah untuk masuk ke melihat ke dalam hal-hal dan bersandar lebih pada sysadmin untuk hal-hal yang bisa mereka lakukan sendiri.
Ini bukan masalah teknis dengan salah satu alat per-se, tetapi jika jumlah pengguna Anda dalam lusinan atau lebih besar itu akan menjadi peningkatan nyata dalam beban kerja dukungan dan pengguna frustrasi.
Juga, masalah yang mereka selesaikan adalah mereka mengurangi risiko serangan masuk brute force ssh. Jujur, risiko itu sangat kecil asalkan Anda bahkan memiliki kebijakan kata sandi yang cukup baik.
Di server terakhir yang saya letakkan di internet, saya mengalami 30k permintaan gagal login pada log saya ... hanya dalam tiga hari! Bahkan dengan kebijakan kata sandi yang baik, hanya untuk menghindari log yang besar dan semua kebisingan dan risiko itu adalah alat yang bagus. Saya menggunakan denyhosts dan melakukan tweak yang baik pada file konfigurasi dan sebagainya ...
Andor
1
Saya menempatkan ambang pada 10 gagal login dalam 10 menit (untuk SSH, IMAP, dll) dan tidak pernah memiliki pengguna yang berwenang terkunci. pengaturan default agak ketat, dan pengguna memukul mereka sekarang dan kemudian; batas yang lebih tinggi umumnya hanya menangkap upaya kekerasan; yang saya setuju tidak mungkin, tetapi saya juga setuju dengan Andor bahwa itu membantu dengan ukuran log.
Chris S
oh tidak ada 10MB ruang disk yang terbuang
cagenut
2
Saya menggunakan sejak beberapa tahun dan setidaknya merupakan perlindungan yang baik terhadap skrip kiddies.
Tidak ada login root, ditambah password yang cukup panjang dan acak dan fail2ban dan mungkin port yang berbeda bagi kebanyakan dari kita cukup aman.
Tentu saja kunci ssh jauh lebih baik daripada keamanan.
Saya telah menggunakan denyhosts di beberapa server produksi dan non-produksi saya, dan berfungsi dengan sangat baik (saya punya masalah dengan sinkronisasi daemon, jadi saya tidak menggunakannya sekarang, tapi mungkin itu berfungsi dengan baik lagi).
Tidak hanya membuat sistem Anda lebih aman, tetapi juga membantu Anda menyimpan log yang lebih bersih dan hanya mengusir orang yang tidak diinginkan dari layar login Anda ...
Saya telah menjalankan Fail2Ban untuk sementara waktu sekarang, dan baru-baru ini saya melihat upaya terdistribusi untuk masuk ke server SSH saya. Mereka tidak akan pernah berhasil pada tingkat mereka, tapi aku sudah mengawasinya.
Mereka telah melalui kamus, masing-masing IP mencoba dua kali, setelah upaya tersebut gagal IP lain melakukan hal yang sama, dll. Saya telah mempertimbangkan untuk melarang IP yang mencoba nama pengguna yang tidak dikenal sebanyak x kali. Tapi sejauh ini saya sudah mendapatkan beberapa ribu IP berbeda yang mencoba masuk; dan saya khawatir bahwa bahkan jika saya memblokir mereka semua masih akan ada lagi.
.conf
file apa pun dan alih-alih menaruh konfigurasi Anda dalam.local
file. Ini juga membuat upgrade lebih mudah, karena tidak ada file lokal Anda yang ditimpa.Setiap kali saya menerapkan denyhosts atau fail2ban dalam lingkungan produksi, ia telah membuat aliran tiket dijamin dari permintaan pembuka kunci, permintaan pengaturan ulang kata sandi, permintaan untuk mengubah pengaturan atau mengelola daftar putih, dan umumnya hanya orang yang menyerah untuk masuk ke melihat ke dalam hal-hal dan bersandar lebih pada sysadmin untuk hal-hal yang bisa mereka lakukan sendiri.
Ini bukan masalah teknis dengan salah satu alat per-se, tetapi jika jumlah pengguna Anda dalam lusinan atau lebih besar itu akan menjadi peningkatan nyata dalam beban kerja dukungan dan pengguna frustrasi.
Juga, masalah yang mereka selesaikan adalah mereka mengurangi risiko serangan masuk brute force ssh. Jujur, risiko itu sangat kecil asalkan Anda bahkan memiliki kebijakan kata sandi yang cukup baik.
sumber
Saya menggunakan sejak beberapa tahun dan setidaknya merupakan perlindungan yang baik terhadap skrip kiddies.
Tidak ada login root, ditambah password yang cukup panjang dan acak dan fail2ban dan mungkin port yang berbeda bagi kebanyakan dari kita cukup aman.
Tentu saja kunci ssh jauh lebih baik daripada keamanan.
sumber
Saya telah menggunakan denyhosts di beberapa server produksi dan non-produksi saya, dan berfungsi dengan sangat baik (saya punya masalah dengan sinkronisasi daemon, jadi saya tidak menggunakannya sekarang, tapi mungkin itu berfungsi dengan baik lagi).
Tidak hanya membuat sistem Anda lebih aman, tetapi juga membantu Anda menyimpan log yang lebih bersih dan hanya mengusir orang yang tidak diinginkan dari layar login Anda ...
sumber
Saya telah menjalankan Fail2Ban untuk sementara waktu sekarang, dan baru-baru ini saya melihat upaya terdistribusi untuk masuk ke server SSH saya. Mereka tidak akan pernah berhasil pada tingkat mereka, tapi aku sudah mengawasinya.
Mereka telah melalui kamus, masing-masing IP mencoba dua kali, setelah upaya tersebut gagal IP lain melakukan hal yang sama, dll. Saya telah mempertimbangkan untuk melarang IP yang mencoba nama pengguna yang tidak dikenal sebanyak x kali. Tapi sejauh ini saya sudah mendapatkan beberapa ribu IP berbeda yang mencoba masuk; dan saya khawatir bahwa bahkan jika saya memblokir mereka semua masih akan ada lagi.
sumber