He visto muchas publicaciones que muestran cómo instalar fail2ban junto con firewalld y quería saber si realmente necesito fail2ban para mi configuración.
Mi configuración es la siguiente
- Cent OS 8 en un VPS
- IP pública
- Firewalld activo y bloqueando todo excepto lo siguiente
- Puerto 80/443 abierto al mundo
- El puerto 22 solo está abierto a 3 direcciones IP
- No se permite ssh de root remoto
- No se permite contraseña ssh; solo se permiten inicios de sesión con clave ssh
Con esta configuración, ¿necesito siquiera fail2ban y, de ser así, para qué sirve? Encontré un hilo que afirma cosas sobre los costos de la CPU si no se usa fail2ban ¿Fail2ban ofrece alguna protección adicional para SSH si el inicio de sesión con contraseña ya está desactivado?
¿Es esto cierto para mi configuración? Puedo apreciar que fail2ban se puede usar para otras alertas y monitoreo de registros, pero solo para ssh será un desperdicio.
Respuesta1
fail2banLa lógica de es bastante simple: si se realiza una cierta cantidad de intentos fallidos de inicio de sesión ssh desde la misma IP, esa IP se bloquea temporalmente.
Dado que expuso el puerto 22 solo a 3 direcciones IP, ya está bloqueando el acceso de intrusos a SSH. Tus otras precauciones (sin root, sin contraseñas) también son muy buenas. Según esas precauciones existentes, no me preocuparía por fail2ban.
Algunas personas pueden decir que fail2ban es útil para más que ssh, pero con solo el puerto 80/443 expuesto, me cuesta pensar en un caso.
Por fin yavinculado a una respuestaque ofrece otros dos beneficios:
- Evitar que se llene el registro de autenticación
- Reduce los ciclos de CPU innecesarios relacionados con intentos de fuerza bruta.
No creo que ninguno de estos sea un beneficio para usted. Dado que está limitando el puerto 22 a tres direcciones IP, no recibirá intentos de direcciones IP aleatorias. La única forma en que fail2ban haría algo es si una de esas tres direcciones IP comenzara a forzarte a ti específicamente. Es poco probable que cualquier fuerza bruta tenga éxito porque ya deshabilitó la raíz y las contraseñas. Por lo tanto, esa dirección IP específica estaría prohibida y supongo que es un problema mayor para usted, ya que está en su lista corta y probablemente sea necesaria para sus operaciones.
Respuesta2
Fail2ban nunca es "obligatorio", pero es útil.
Si solo se puede acceder a SSH a través de un puñado de IPS y generalmente confías en aquellos con acceso a este IPS, entonces fail2ban es menos útil para proteger SSH. De hecho, puede ser una molestia si alguien tiene problemas para iniciar sesión y de repente se bloquea toda la oficina.
Pero fail2ban es mucho más que una protección SSH. Su configuración es bastante compleja pero se puede configurar para observar cualquier registro. Esto significa que sus aplicaciones web (en los puertos 80 y 443) también se pueden monitorear. Algunos bien lo saben. Las aplicaciones web (como WordPress) generan muchos intentos de piratería no deseados por parte de bots. Fail2ban también es un buen mecanismo para prohibirlos.
Entonces, en su caso, sospecho que fail2ban no será de mucha utilidad para proteger SSH, pero considere qué protección pondrá en sus aplicaciones web.