Como prevenir ataques de força bruta em sistemas Debian sem o fail2ban ou o CSF-LFD?

1

Como prevenir ataques de força bruta em sistemas Debian sem o fail2ban ou o CSF-LFD?

A maneira mais rápida e rápida que eu sei é o CSF-LFD do ConfigServer, mas ele não está nos repositórios e se eu vou usar um utilitário eu prefiro algo nos repositórios (parece que não consigo criar um repositório Debian / Ubuntu por causa de razões legais / de licenciamento).

Outra solução que o CSF-LFD é Fail2ban , mas parece-me que a configuração do Fail2ban requer conhecimento firme na arquitetura de software IPS, bem como conhecimento profundo de regex compatível com Perl (PCRE), que atualmente não tenho algum conhecimento básico de PCRE, mas não tão profundo quanto eu acho que é necessário para o Fail2ban). Não parece tão simples quanto o LSF para mim.

Assim, pergunto-me se existe uma maneira "mais suave", talvez manualmente através de tabelas IP, talvez através de algum utilitário que eu possa instalar diretamente dos repositórios Debian / Ubuntu que possam impedir BFAs além do uso de chaves SSH.

    
por Arcticooling 05.01.2018 / 03:48

2 respostas

1

Eu também não gostei muito da complexidade do Fail2ban, então eu procurei alternativas e encontrei o Sshguard , que foi projetado para funcionar sem qualquer configuração violenta.

Ao contrário do nome, o Sshguard pode lidar com mais do que ataques de força bruta SSH; ele vem de fábrica com vários filtros para pacotes populares de e-mail e FTP.

No entanto, como o mc0e disse, o Fail2ban realmente não requer muita configuração, é mais poderoso e suporta mais daemons, e eu acho que ele vem com algumas regras SSH por padrão, então você não deveria ter que configurar nada, realmente .

Eu também sou parcial a ferm como uma ferramenta de pré-processamento muito mais amigável (e mais poderosa) para configurar Regras iptables, mas isso não está diretamente relacionado a impedir automaticamente ataques de força bruta.

    
por 08.01.2018 / 20:33
3

O Fail2ban é uma boa ferramenta, particularmente para logins ssh, e é muito fácil de configurar para essa finalidade. Eu sugiro que você use isso. Você não precisará aprender muito PCRE, pois a configuração ssh que você precisa está lá por padrão.

Não se coíbe de aprender regex. Seja qual for o esforço que você gasta, será muito bem recompensado por muitos anos.

Você deseja uma ferramenta de alto nível para especificar regras de firewall. Eu uso ferm . Existem muitos outros para escolher. Além do bloqueio de porta, as regras de firewall podem classificar as conexões de limite, o que é útil para a prevenção de ataques de força bruta.

    
por 05.01.2018 / 06:37