é fail2ban seguro? Melhor usar chaves ssh?

11

Estou em dúvida se devo usar a autenticação de chave ao fazer o login no SSH, ou apenas ir para o fail2ban + ssh (login de raiz desativado).

O fail2ban é seguro ou é realmente melhor simplesmente ir em frente e gerar chaves e configurações em todas as máquinas clientes que precisam se conectar ao ssh?

    
por solsol 22.06.2010 / 16:31

5 respostas

12

Eu julgo isso como um produto estável e considero-o seguro. Como precaução extra, eu adicionaria seu endereço IP de origem à diretiva ignoreip no jails.conf para garantir que você não se bloqueia.

Como ele analisa os logs ssh, será necessário estabelecer uma sessão TCP, o que dificulta a falsificação de IPs de origem e a obtenção dos números de seqüências TCP para criar uma espécie de variação de backscatter.

Usar chaves em cima disso também não é uma má ideia. Outras opções que ajudam a mover o ssh para um IP não padrão, usando o módulo "iptables" recente, ou simplesmente decidir que você não se importa se as pessoas tentarem usar senhas de força bruta. Veja este serverfault postar mais sobre isso.

    
por 22.06.2010 / 16:38
3

Sempre que implementei o denyhosts ou o fail2ban em um ambiente de produção, ele criou um fluxo de tickets garantidos de solicitações de desbloqueio, solicitações de redefinição de senha, solicitações para alterar as configurações ou gerenciar a lista de permissões e geralmente apenas pessoas que desistiram fazendo o login para ver as coisas e se apoiando mais nos administradores para coisas que eles poderiam fazer sozinhos.

Não é um problema técnico com qualquer uma das ferramentas, mas se o número de usuários em dezenas ou mais for um aumento notável na carga de trabalho de suporte e usuários frustrados.

Além disso, o problema que eles resolvem é que eles reduzem o risco de ataques de login ssh de força bruta. Honestamente, o risco disso é incrivelmente pequeno, desde que você tenha uma política de senha moderadamente decente.

    
por 22.06.2010 / 17:50
2

Eu uso há alguns anos e, pelo menos, é uma boa proteção contra kiddies script.
Nenhum logon de raiz, além de senhas bastante longas e aleatórias e fail2ban e talvez uma porta diferente é, para a maioria de nós, bastante segura.
Claro que as chaves ssh são muito melhores como segurança.

    
por 22.06.2010 / 16:49
0

Eu tenho usado o denyhosts em vários servidores de produção e não produção, e funciona muito bem (eu tive problemas com o daemon sync, então não o uso agora, mas talvez esteja funcionando bem de novo).

Não apenas torna seu sistema mais seguro, mas também ajuda a manter registros mais limpos e simplesmente impedir a entrada de pessoas indesejadas em suas telas de login ...

    
por 22.06.2010 / 17:43
0

Eu executei o Fail2Ban por um tempo agora, e recentemente vi tentativas distribuídas de invadir meu servidor SSH. Eles nunca terão sucesso no ritmo que estão indo, mas eu tenho estado de olho nisso.

Eles estão passando por um dicionário, cada IP tenta duas vezes, depois dessas tentativas falharem, outro IP faz o mesmo, etc. Eu considerei proibir IPs que tentam nomes de usuários desconhecidos x vezes. Mas até agora eu consegui alguns milhares de IPs diferentes tentando entrar; e eu estou preocupado que mesmo se eu bloquear todos eles ainda haverá mais.

    
por 22.06.2010 / 17:51

Tags