Recientemente instalé fail2ban en un VPS (Ubuntu 20.04), con una configuración muy simple para dispersar a los atacantes de fuerza bruta ssh.
Estoy usando fail2ban con ufw (banaction = ufw) y decidí prohibirlos permanentemente (bantime = -1).
Esto funciona muy bien y es exactamente el resultado que buscaba. Sin embargo, una advertencia:
Al mirar la larga lista de IP prohibidas devueltas por las consultas de estado de fail2ban y ufw después de 10 días, me pregunto:
¿Esta configuración eventualmente provocará problemas de almacenamiento?
(Esto es una cuestión de experiencia y no tengo casi ninguna en este campo).
Si el almacenamiento pudiera convertirse en un problema, ¿sería quizás una mejor idea trabajar con valores finitos de tiempo de espera?
He elegido deliberadamente una configuración muy sencilla (de acuerdo con el conocimiento y el tiempo limitados que tengo). Aquí está la cárcel sshd simple que definí en 'jail.local':
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 7
banaction = ufw
findtime = 86400
bantime = -1
Respuesta1
¿Esta configuración eventualmente provocará problemas de almacenamiento?
Incluso si las direcciones I se almacenan como texto, no se necesitarán más de 15 bytes para almacenarlas (4 * 3 números + 3 puntos).
Eso significa que 1 millón de direcciones ocuparán sólo 15 MB, por lo que no creo que debas preocuparte por eso a menos que tengas un sitio realmente famoso con una gran cantidad de ataques.