Вопрос: неудобно? Лучше использовать клавиши ssh?


Я сомневаюсь, что я должен использовать аутентификацию ключа при входе в SSH, или просто пойти для fail2ban + ssh (root login disabled).

Является ли fail2ban безопасным или действительно лучше просто идти вперед и генерировать ключи и конфигурацию, которые на всех моих клиентских машинах, которые должны подключаться к ssh?


11
2018-06-22 14:31


Источник




Ответы:


Я считаю это стабильным продуктом, и я считаю его безопасным. В качестве дополнительной меры предосторожности я бы добавил ваш IP-адрес источника к ignoreip директивы в jails.conf чтобы вы не блокировали себя.

Поскольку он анализирует журналы ssh, необходимо будет установить сеанс TCP, чтобы спуфинг исходных IP-адресов и получение последовательностей последовательностей TCP для создания своего рода обратного рассеяния кажется маловероятным.

Использование клавиш поверх этого тоже неплохая идея. Другие варианты, которые помогают, перемещают ssh на нестандартный IP-адрес, используя «последний» модуль iptables или просто решая, что вас не волнует, пытаются ли люди пароли перебора принудительной работы. Видеть этот серверный код сообщение для больше об этом.


11
2018-06-22 14:38



Направления Fail2Ban говорят, что не нужно редактировать какой-либо из .confфайлы и вместо этого вставлять ваши конфигурации в .local файлы. Это также упрощает обновление, поскольку ни один из ваших локальных файлов не перезаписывается. - Chris S
Крис С: Спасибо за этот совет ... Я попытаюсь сделать заметку :-) - Kyle Brandt♦


Каждый раз, когда я когда-либо реализовывал denyhosts или fail2ban в производственной среде, он создавал гарантированный поток запросов на разблокировку, запросы сброса пароля, запросы на изменение настроек или управление «белым списком», и обычно просто люди, которые отказываются регистрироваться в заглядывать в вещи и больше полагаться на системных администраторов на то, что они могут сделать сами.

Это не техническая проблема с любым инструментом, но если ваши пользователи будут десятки или больше, то это будет заметный всплеск нагрузки на поддержку и разочарование пользователей.

Кроме того, проблема, которую они решают, заключается в том, что они уменьшают риск атаки ssh для грубой силы. Честно говоря, риск этого невероятно мал, если у вас даже умеренно приличная парольная политика.


3
2018-06-22 15:50



На последнем сервере, который я установил в Интернете, у меня было 30k неудачного запроса на вход в мои журналы ... всего через три дня! Даже при хорошей политике паролей, просто для того, чтобы избежать больших журналов и всего этого шума и риска, это хороший инструмент. Я использую denyhosts и хорошо настраиваю файлы конфигурации и так ... - Andor
Я поставил порог с 10 неудачными входами через 10 минут (для SSH, IMAP и т. Д.) И никогда не был заблокирован авторизованный пользователь. настройки по умолчанию немного жесткие, и пользователи нажимают на них сейчас и затем; более высокие лимиты обычно захватывают только попытки грубого принуждения; который я согласен, маловероятен, но я также согласен с Андором в том, что он помогает с размером журнала. - Chris S
oh нет 10 мб впустую дискового пространства - cagenut


Я использую его с нескольких лет и, по крайней мере, является хорошей защитой от сценаристов.
Нет корневого входа, плюс довольно длинные и случайные пароли и fail2ban, и, возможно, другой порт для большинства из нас достаточно безопасен.
Конечно, ключи ssh намного лучше, чем безопасность.


2
2018-06-22 14:49





Я использую denyhosts на нескольких моих производственных и непроизводственных серверах, и он отлично работает (у меня были проблемы с синхронизацией демона, поэтому я не использую его сейчас, но, возможно, он снова работает отлично).

Это не только делает вашу систему более безопасной, но она помогает вам сохранять журналы более чистого и просто избегать нежелательных людей из ваших экранов входа ...


0
2018-06-22 15:43





Я немного запустил Fail2Ban, и совсем недавно я видел распределенные попытки проникнуть на мой SSH-сервер. Им никогда не удастся добиться успеха, но я слежу за этим.

Они просматривают словарь, каждый IP пытается дважды, после того, как эти попытки выходят из строя, другой IP делает то же самое и т. Д. Я рассмотрел возможность запрета IP-адресов, которые просят неизвестные имена пользователей x раз. Но до сих пор я получил несколько тысяч разных IP-адресов, пытающихся войти; и я обеспокоен тем, что, даже если я их заблокирую, все равно будет еще больше.


0
2018-06-22 15:51