최근에 SSH 무차별 공격자를 분산시키기 위한 매우 간단한 구성으로 VPS(Ubuntu 20.04)에 fall2ban을 설치했습니다.
나는 ufw와 함께 failure2ban을 사용하고 있습니다(banaction = ufw) 그리고 저는 그것들을 영구적으로 금지하기로 결정했습니다(bantime = -1).
이것은 훌륭하게 작동하며 정확히 내가 추구했던 결과입니다. 하지만 한 가지 주의사항은 다음과 같습니다.
10일 후 Fail2ban 및 ufw 상태 쿼리에 의해 반환된 금지된 IP의 긴 목록을 보면 다음과 같은 의문이 듭니다.
이 설정으로 인해 결국 스토리지 문제가 발생하게 됩니까?
(이것은 경험의 문제이고 저는 이 분야에 대해 거의 아는 바가 없습니다.)
스토리지가 문제가 될 수 있다면 유한한 반타임 값으로 작업하는 것이 더 나은 아이디어일까요?
나는 의도적으로 매우 간단한 설정을 선택했습니다(제한된 지식과 시간에 맞춰). 다음은 'jail.local'에 정의한 간단한 sshd 감옥입니다:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 7
banaction = ufw
findtime = 86400
bantime = -1
답변1
이 설정으로 인해 결국 스토리지 문제가 발생하게 됩니까?
주소를 텍스트로 저장하더라도 저장하는 데 15바이트(4 * 3 숫자 + 3 점) 이상이 필요하지 않습니다.
즉, 100만 개의 주소는 15MB만 차지하므로 엄청난 수의 공격이 있는 매우 유명한 사이트가 아닌 이상 걱정할 필요가 없다고 생각합니다.