나는 방화벽과 함께 Fail2ban을 설치하는 방법을 보여주는 많은 게시물을 보았고, 내 설정에 실제로 Fail2ban이 필요한지 알고 싶었습니다.
내 설정은 다음과 같습니다
- VPS의 Cent OS 8
- 공용 IP
- 방화벽이 활성화되어 아래 항목을 제외한 모든 항목을 차단합니다.
- 포트 80/443은 전 세계에 개방되어 있습니다.
- 포트 22는 3개의 IP 주소에만 열려 있습니다.
- 원격 루트 SSH는 허용되지 않습니다.
- 비밀번호 SSH는 허용되지 않습니다. SSH 키 로그인만 허용됩니다.
이 설정을 사용하면 Fail2ban도 필요하며, 그렇다면 어떤 목적으로 해결됩니까? FAIL2BAN을 사용하지 않을 경우 CPU 비용에 대해 주장하는 스레드를 찾았습니다. pass2ban은 비밀번호 로그인이 이미 꺼져 있는 경우 SSH에 대한 추가 보호 기능을 제공합니까?
내 설정에 이것이 사실입니까? 다른 로그 모니터링 및 경고에 Fail2ban을 사용할 수 있다는 점은 인정하지만 SSH에만 해당되는 것은 낭비입니다.
답변1
fail2ban의 논리는 매우 간단합니다. 동일한 IP에서 특정 횟수만큼 SSH 로그인 시도가 실패하면 해당 IP가 일시적으로 차단됩니다.
포트 22를 3개의 IP 주소에만 노출했으므로 침입자가 SSH에 액세스하는 것을 이미 차단하고 있습니다. 다른 예방 조치(루트 없음, 비밀번호 없음)도 매우 좋습니다. 이러한 기존 예방 조치를 바탕으로 Fail2ban에 대해 걱정하지 않을 것입니다.
어떤 사람들은 Fail2ban이 ssh 이상의 용도로 유용하다고 말할 수도 있지만 포트 80/443만 노출되어 있어서 사례를 생각하기가 어렵습니다.
마침내 당신은 이미답변에 연결됨두 가지 다른 이점을 제공합니다.
- 인증 로그가 가득 차는 것을 방지하기
- 무차별 대입 시도를 처리하는 불필요한 CPU 주기를 줄입니다.
나는 이것들 중 어느 것도 당신에게 이익이 되지 않는다고 생각합니다. 포트 22를 3개의 IP 주소로 제한하므로 임의의 IP 주소에서 시도를 받을 수 없습니다. Fail2ban이 무엇이든 할 수 있는 유일한 방법은 세 개의 IP 주소 중 하나가 사용자에게 무차별 대입을 시작한 경우입니다. 이미 루트와 비밀번호를 비활성화했기 때문에 무차별 공격이 성공할 가능성이 낮습니다. 따라서 해당 특정 IP 주소는 금지될 것이며 이는 귀하의 최종 후보 목록에 있고 귀하의 운영에 필요할 수 있으므로 이것이 귀하에게 더 큰 문제라고 가정합니다.
답변2
Fail2ban은 결코 "필수"가 아니지만 유용합니다.
소수의 IPS를 통해서만 SSH에 액세스할 수 있고 일반적으로 이 IPS에 액세스할 수 있는 사용자를 신뢰하는 경우, SSH를 보호하는 데는 fall2ban이 덜 유용합니다. 실제로 누군가 로그인에 문제가 있어서 갑자기 사무실 전체가 차단된다면 고통스러울 수 있습니다.
그러나 fall2ban은 SSH 보호 그 이상입니다. 구성은 꽤 복잡하지만 모든 로그를 감시하도록 구성할 수 있습니다. 이는 웹 애플리케이션(포트 80 및 443)도 모니터링할 수 있음을 의미합니다. 일부는 잘 알고 있습니다. WordPress와 같은 웹 앱은 봇으로부터 원치 않는 해킹 시도를 많이 유도합니다. Fail2ban은 이를 금지하는 좋은 메커니즘이기도 합니다.
따라서 귀하의 경우에는 fall2ban이 SSH를 보호하는 데 많이 사용되지 않을 것이라고 생각합니다. 그러나 웹 앱에 어떤 보호를 적용할지 고려하십시오.