Ich habe viele Posts gesehen, in denen gezeigt wurde, wie man fail2ban zusammen mit Firewalld installiert, und wollte wissen, ob fail2ban für mein Setup wirklich erforderlich ist.
Mein Setup ist wie folgt
- Cent OS 8 in einem VPS
- Öffentliche IP
- Firewalld ist aktiv und blockiert alles außer dem Folgenden
- Port 80/443 offen für die Welt
- Port 22 ist nur für 3 IP-Adressen geöffnet
- Kein Remote-Root-SSH erlaubt
- Kein Passwort-SSH erlaubt - nur SSH-Schlüssel-Logins erlaubt
Brauche ich mit diesem Setup überhaupt fail2ban und wenn ja, welchen Zweck erfüllt es? Ich habe einen Thread gefunden, in dem Aussagen über die CPU-Kosten gemacht werden, wenn fail2ban nicht verwendet wird Bietet fail2ban zusätzlichen Schutz für SSH, wenn die Kennwortanmeldung bereits deaktiviert ist?
Trifft das auf mein Setup zu? Ich kann verstehen, dass fail2ban für andere Protokollüberwachungen und Alarme verwendet werden kann, aber für SSH allein wäre es eine Verschwendung
Antwort1
fail2banDie Logik ist ziemlich einfach: Wenn eine bestimmte Anzahl fehlgeschlagener SSH-Anmeldeversuche von derselben IP aus erfolgen, wird diese IP vorübergehend blockiert.
Da Sie Port 22 nur für 3 IP-Adressen freigegeben haben, blockieren Sie bereits den Zugriff von Eindringlingen auf SSH. Ihre anderen Vorsichtsmaßnahmen (kein Root, keine Passwörter) sind ebenfalls sehr gut. Aufgrund dieser bestehenden Vorsichtsmaßnahmen würde ich mir wegen fail2ban keine Sorgen machen.
Manche Leute sagen vielleicht, dass fail2ban nicht nur für SSH nützlich ist, aber da nur die Ports 80/443 freigegeben sind, fällt mir ein entsprechender Fall nicht ein.
Schließlich haben Sie bereitsmit einer Antwort verknüpftDas bietet zwei weitere Vorteile:
- Verhindern, dass das Authentifizierungsprotokoll voll wird
- Reduziert unnötige CPU-Zyklen bei der Bearbeitung von Brute-Force-Versuchen.
Ich glaube nicht, dass eines davon Vorteile für Sie bringt. Da Sie Port 22 auf drei IP-Adressen beschränken, werden Sie keine Versuche von zufälligen IP-Adressen erhalten. Fail2ban würde nur dann etwas bewirken, wenn eine dieser drei IP-Adressen gezielt gegen Sie vorgehen würde. Jegliches Bruteforcing wird wahrscheinlich nicht erfolgreich sein, da Sie Root und Passwörter bereits deaktiviert haben. Daher würde diese spezielle IP-Adresse gesperrt werden, und ich nehme an, dass das ein größeres Problem für Sie darstellt, da sie auf Ihrer Shortlist steht und wahrscheinlich für Ihre Operationen notwendig ist.
Antwort2
Fail2ban ist nie „erforderlich“, aber nützlich.
Wenn SSH nur über eine Handvoll IPS zugänglich ist und Sie grundsätzlich denjenigen vertrauen, die Zugriff auf diese IPS haben, ist fail2ban zum Schutz von SSH weniger nützlich. Tatsächlich kann es ärgerlich sein, wenn jemand Probleme beim Anmelden hat und plötzlich das ganze Büro gesperrt wird.
Aber fail2ban ist viel mehr als ein SSH-Schutz. Die Konfiguration ist ziemlich komplex, aber es kann so konfiguriert werden, dass jedes Protokoll überwacht wird. Das bedeutet, dass auch Ihre Webanwendungen (auf Port 80 und 443) überwacht werden können. Einige wissen das. Webanwendungen (wie WordPress) sind häufig Ziel unerwünschter Hackerangriffe durch Bots. Fail2ban ist auch ein guter Mechanismus, um diese zu sperren.
Ich vermute also, dass fail2ban in Ihrem Fall zum Schutz von SSH nicht viel nützen wird, aber überlegen Sie sich, welchen Schutz Sie für Ihre Web-Apps einrichten werden.