Ich bin mir nicht sicher, ob ich bei der Anmeldung bei SSH die Schlüsselauthentifizierung verwenden oder einfach fail2ban + ssh wählen soll (Root-Anmeldung deaktiviert).
Ist fail2ban sicher oder ist es wirklich besser, einfach Schlüssel zu generieren und diese auf allen meinen Client-Computern zu konfigurieren, die eine Verbindung zu ssh herstellen müssen?
Antworten:
Ich halte es für ein stabiles Produkt und halte es für sicher. Als zusätzliche Vorsichtsmaßnahme würde ich Ihre Quell-IP-Adresse zur ignoreipDirektive in hinzufügen jails.conf, um sicherzustellen, dass Sie sich nicht blockieren.
Da die SSH-Protokolle analysiert werden, muss eine TCP-Sitzung eingerichtet werden, sodass es unwahrscheinlich erscheint, Quell-IPs zu fälschen und die richtigen TCP-Sequenznummern zu erhalten, um eine Art Backscatter-Variation zu erstellen.
Darüber hinaus ist es keine schlechte Idee, darüber hinaus Schlüssel zu verwenden. Andere Optionen, die helfen, sind das Verschieben von ssh auf eine nicht standardmäßige IP-Adresse, die Verwendung des "aktuellen" iptables-Moduls oder die Entscheidung, dass es Ihnen egal ist, ob Benutzer versuchen, Kennwörter brutal zu erzwingen. Weitere Informationen hierzu finden Sie in diesem Serverfehlerbeitrag .
Jedes Mal, wenn ich Denyhosts oder Fail2Ban in einer Produktionsumgebung implementiert habe, wurde ein garantierter Ticketstrom von Entsperranforderungen, Anforderungen zum Zurücksetzen von Kennwörtern, Anforderungen zum Ändern der Einstellungen oder zum Verwalten der Whitelist und im Allgemeinen nur von Personen erstellt, die die Anmeldung aufgeben Schauen Sie sich die Dinge an und stützen Sie sich mehr auf die Systemadministratoren, um Dinge zu finden, die sie selbst tun könnten.
Es ist kein technisches Problem mit beiden Tools an sich, aber wenn Ihre Benutzer Dutzende oder mehr zählen, wird dies zu einem spürbaren Anstieg der Support-Arbeitsbelastung und zu frustrierten Benutzern führen.
Das Problem, das sie lösen, ist auch, dass sie das Risiko von Brute-Force-SSH-Login-Angriffen verringern. Ehrlich gesagt ist das Risiko dafür unglaublich gering, solange Sie sogar eine mäßig anständige Passwortrichtlinie haben.
Ich benutze seit einigen Jahren und ist zumindest ein guter Schutz gegen Script Kiddies.
Keine Root-Anmeldung sowie ziemlich lange und zufällige Passwörter und fail2ban und möglicherweise ein anderer Port sind für die meisten von uns ausreichend sicher.
Natürlich sind SSH-Schlüssel als Sicherheit viel besser.
Ich habe Denishhosts in mehreren meiner Produktions- und Nicht-Produktionsserver verwendet und es funktioniert wirklich gut (ich hatte Probleme mit der Daemon-Synchronisierung, daher verwende ich es jetzt nicht, aber vielleicht funktioniert es wieder gut).
Dies macht Ihr System nicht nur sicherer, sondern hilft Ihnen auch dabei, sauberere Protokolle zu führen und unerwünschte Personen einfach von Ihren Anmeldebildschirmen fernzuhalten ...
Ich habe Fail2Ban jetzt schon eine Weile ausgeführt und erst kürzlich habe ich verteilte Versuche gesehen, in meinen SSH-Server einzudringen. Sie werden nie so erfolgreich sein wie sie, aber ich habe es im Auge behalten.
Sie haben ein Wörterbuch durchlaufen, jede IP versucht es zweimal, nachdem diese Versuche fehlgeschlagen sind, macht eine andere IP dasselbe usw. Ich habe überlegt, IPs zu verbieten, die x-mal unbekannte Benutzernamen versuchen. Aber bis jetzt habe ich ein paar tausend verschiedene IPs bekommen, die versuchen einzusteigen; und ich mache mir Sorgen, dass es noch mehr geben wird, selbst wenn ich sie alle blockiere.
.confDateien bearbeiten und stattdessen Ihre Konfigurationen in.localDateien ablegen sollen . Dies erleichtert auch Upgrades erheblich, da keine Ihrer lokalen Dateien überschrieben wird.