fail2ban をfirewalld と一緒にインストールする方法を示す投稿をたくさん見てきましたが、私のセットアップに fail2ban が本当に必要かどうかを知りたいと思いました。
私の設定は次のとおりです
- VPS での Cent OS 8
- パブリックIP
- ファイアウォールが有効で、以下を除くすべてをブロックしています
- ポート80/443が世界に開放されました
- ポート22は3つのIPアドレスにのみ開かれます
- リモートルートSSHは許可されません
- パスワード SSH は許可されません - SSH キー ログインのみ許可されます
この設定では、fail2ban は必要なのでしょうか。必要な場合、どのような目的を達成できるのでしょうか。fail2ban を使用しない場合の CPU コストについて主張するスレッドを見つけました。 パスワード ログインがすでにオフになっている場合、fail2ban は SSH に追加の保護を提供しますか?
これは私の設定にも当てはまりますか? fail2ban が他のログ監視やアラートに使用できることは理解できますが、ssh のみでは無駄になります。
答え1
fail2banのロジックは非常にシンプルです。同じ IP からの ssh ログイン試行が一定回数失敗すると、その IP は一時的にブロックされます。
ポート 22 を 3 つの IP アドレスにのみ公開しているので、侵入者が SSH にアクセスするのはすでにブロックされています。その他の予防策 (ルートなし、パスワードなし) も非常に優れています。これらの既存の予防策に基づくと、fail2ban について心配する必要はありません。
fail2ban は ssh 以外にも役立つと言う人もいるかもしれませんが、ポート 80/443 しか公開されていないので、ケースを考えるのは難しいです。
最後に、あなたはすでに回答にリンクこれには、他に 2 つの利点があります。
- 認証ログがいっぱいにならないようにする
- ブルートフォース攻撃に対処するための不要な CPU サイクルを削減します。
どちらもあなたにとってメリットになるとは思えません。ポート 22 を 3 つの IP アドレスに制限しているので、ランダムな IP アドレスからの攻撃を受けることはありません。fail2ban が何らかの効果を発揮するのは、3 つの IP アドレスのうちの 1 つが特定のユーザーに対してブルートフォース攻撃を開始した場合のみです。すでにルートとパスワードを無効にしているため、ブルートフォース攻撃が成功する可能性は低いです。したがって、その特定の IP アドレスは禁止されますが、これは候補リストに載っており、おそらく運用に必要であるため、あなたにとってはより大きな問題だと思います。
答え2
Fail2ban は決して「必須」ではありませんが、便利です。
SSH にアクセスできるのが少数の IPS のみで、この IPS にアクセスできるユーザーを一般的に信頼している場合は、SSH を保護するための fail2ban はあまり役に立ちません。確かに、誰かがログインに問題を抱え、突然オフィス全体がブロックされてしまうと、面倒なことになります。
しかし、fail2ban は単なる SSH 保護ではありません。設定はかなり複雑ですが、任意のログを監視するように設定できます。つまり、Web アプリケーション (ポート 80 および 443) も監視できます。よく知られているように、Web アプリケーション (WordPress など) は、ボットによる望ましくないハッキングの試みを多く引き起こします。Fail2ban は、これらを禁止するための優れたメカニズムでもあります。
したがって、あなたの場合、fail2ban は SSH の保護にはあまり役に立たないと思われますが、Web アプリにどのような保護を施すかを検討してください。