Apakah layak menjalankan fail2ban , sshdfilter atau alat serupa, yang memasukkan alamat IP blacklist yang mencoba dan gagal masuk?
Saya telah melihatnya berargumen bahwa ini adalah teater keamanan di server "yang diamankan dengan benar". Namun, saya merasa bahwa itu mungkin membuat skrip kiddies pindah ke server berikutnya dalam daftar mereka.
Katakanlah server saya "diamankan dengan benar" dan saya tidak khawatir bahwa serangan brute force akan benar-benar berhasil - apakah alat-alat ini hanya menjaga logfile saya bersih, atau apakah saya mendapatkan manfaat yang berharga dalam memblokir upaya serangan brute force?
Pembaruan : Banyak komentar tentang menebak kata sandi dengan kasar - saya memang menyebutkan bahwa saya tidak khawatir tentang ini. Mungkin saya seharusnya lebih spesifik dan bertanya apakah fail2ban memiliki manfaat untuk server yang hanya memungkinkan login ssh berbasis kunci.
Jawaban:
Upaya membatasi login masuk adalah cara mudah untuk mencegah beberapa serangan tebakan kata sandi berkecepatan tinggi. Namun, sulit untuk membatasi serangan yang didistribusikan dan banyak yang berjalan dengan kecepatan rendah selama beberapa minggu atau bulan. Saya pribadi lebih suka menghindari penggunaan alat respons otomatis seperti fail2ban. Dan ini karena dua alasan:
Oleh karena itu saya tidak menganggap fail2ban (dan alat respons otomatis serupa) pendekatan yang sangat baik untuk mengamankan server terhadap serangan brute force. Aturan IPTables sederhana yang diatur untuk mengurangi log spam (yang saya miliki di sebagian besar server linux saya) adalah sesuatu seperti ini:
Ini mencegah lebih dari 4 upaya koneksi dari satu IP ke ssh dalam periode 60 detik. Sisanya dapat ditangani dengan memastikan kata sandi cukup kuat. Pada server keamanan tinggi yang memaksa pengguna untuk menggunakan otentikasi kunci publik adalah cara lain untuk berhenti menebak.
sumber
Alat-alat seperti fail2ban membantu mengurangi lalu lintas jaringan yang tidak perlu dan untuk menjaga file log sedikit lebih kecil dan lebih bersih. Bukan keamanan besar yang menyembuhkan semuanya, tetapi membuat kehidupan sysadmin sedikit lebih mudah; itu sebabnya saya merekomendasikan menggunakan fail2ban pada sistem di mana Anda dapat membelinya.
sumber
Ini bukan hanya tentang mengurangi kebisingan - sebagian besar serangan ssh mencoba untuk memaksa menebak password. Jadi, sementara Anda akan melihat banyak upaya ssh yang gagal, mungkin pada saat mendapat upaya ke-2034 mereka mungkin mendapatkan nama pengguna / kata sandi yang valid.
Yang menyenangkan tentang fail2ban dibandingkan dengan pendekatan lain adalah ia memiliki efek minimal pada upaya koneksi yang valid.
sumber
Yah, itu agak menghemat jaringan Anda dari serangan penolakan, dan menghemat biaya pemrosesan kesalahan.
Tidak menjadi server terlemah dalam daftar skrip kiddies selalu merupakan hal yang baik.
sumber
Maaf, tetapi saya akan mengatakan bahwa server Anda diamankan dengan benar jika sshd Anda menolak upaya untuk mengotentikasi dengan kata sandi.
sumber