Lohnt es sich, zu laufen?Fehler2Ban,sshdfilter oder ähnliche Tools, die IP-Adressen auf die schwarze Liste setzen, deren Anmeldeversuch fehlschlägt?
Ich habe es argumentiert gesehendass dies Sicherheitstheater auf einem „ordnungsgemäß gesicherten“ Server ist. Ich habe jedoch das Gefühl, dass Script-Kiddies sich dadurch wahrscheinlich den nächsten Server auf ihrer Liste suchen.
Nehmen wir an, mein Server ist „ordnungsgemäß gesichert“ und ich mache mir keine Sorgen, dass ein Brute-Force-Angriff tatsächlich erfolgreich sein könnte. Halten diese Tools lediglich meine Protokolldateien sauber oder habe ich einen nennenswerten Vorteil, wenn ich Brute-Force-Angriffsversuche blockiere?
Aktualisieren: Viele Kommentare zum Erraten von Passwörtern mit Brute-Force-Methoden – ich habe erwähnt, dass ich mir darüber keine Sorgen mache. Vielleicht hätte ich genauer sein und fragen sollen, ob fail2ban Vorteile für einen Server hat, der nur schlüsselbasierte SSH-Anmeldungen zulässt.
Antwort1
Die Begrenzung der Anmeldeversuche ist eine einfache Möglichkeit, einige der Hochgeschwindigkeitsangriffe zum Erraten von Passwörtern zu verhindern. Es ist jedoch schwierig, verteilte Angriffe zu begrenzen, und viele laufen über Wochen oder Monate hinweg mit niedriger Geschwindigkeit. Ich persönlich vermeide lieber die Verwendung automatisierter Reaktionstools wie fail2ban. Und das aus zwei Gründen:
- Legitime Benutzer vergessen manchmal ihre Passwörter. Ich möchte legitime Benutzer nicht von meinem Server sperren und mich dann zwingen, ihre Konten manuell wieder zu aktivieren (oder schlimmer noch, herauszufinden, welche der 100/1000 gesperrten IP-Adressen ihre ist).
- Eine IP-Adresse ist kein gutes Identifizierungsmerkmal für einen Benutzer. Wenn Sie mehrere Benutzer hinter einer einzigen IP haben (zum Beispiel eine Schule, die NAT auf 500 Schülercomputern betreibt), kann ein einzelner Benutzer, der ein paar falsche Vermutungen anstellt, Ihnen große Probleme bereiten. Gleichzeitig sind die meisten der Passwort-Rateversuche, die ich sehe, verteilt.
Aus diesem Grund halte ich fail2ban (und ähnliche automatisierte Antworttools) nicht für eine sehr gute Methode, um einen Server gegen Brute-Force-Angriffe zu schützen. Ein einfacher IPTables-Regelsatz zur Reduzierung des Log-Spams (den ich auf den meisten meiner Linux-Server habe) sieht etwa so aus:
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Es verhindert mehr als 4 Verbindungsversuche von einer einzelnen IP zu SSH in einem Zeitraum von 60 Sekunden. Der Rest kann durch Sicherstellen einigermaßen sicherer Passwörter erledigt werden. Auf Hochsicherheitsservern ist es eine weitere Möglichkeit, das Raten zu unterbinden, wenn die Benutzer zur Verwendung einer Authentifizierung mit öffentlichem Schlüssel gezwungen werden.
Antwort2
Tools wie fail2ban helfen, unnötigen Netzwerkverkehr zu reduzieren und Logdateien etwas kleiner und übersichtlicher zu halten. Es ist kein großes Sicherheitswunder, macht aber das Leben des Systemadministrators etwas einfacher; deshalb empfehle ich, fail2ban auf Systemen zu verwenden, auf denen Sie es sich leisten können.
Antwort3
Es geht nicht nur darum, den Lärm zu reduzieren - die meisten SSH-Angriffe versuchen, Passwörter mit Brute-Force-Methoden zu erraten. Sie werden also zwar viele fehlgeschlagene SSH-Versuche sehen, aber vielleicht haben sie beim 2034. Versuch einen gültigen Benutzernamen/ein gültiges Passwort gefunden.
Das Schöne an fail2ban im Vergleich zu anderen Ansätzen ist, dass es nur minimale Auswirkungen auf gültige Verbindungsversuche hat.
Antwort4
Tut mir leid, aber ich würde sagen, dass Ihr Server ausreichend geschützt ist, wenn Ihr SSHD Authentifizierungsversuche mit Passwörtern ablehnt.
PasswordAuthentication no