Tenho visto muitos posts mostrando como instalar o fail2ban junto com o firewalld e queria saber se o fail2ban é realmente necessário para minha configuração.
Minha configuração é a seguinte
- CentOS 8 em um VPS
- IP voltado para o público
- Firewalld ativo e bloqueando tudo, exceto o abaixo
- Porta 80/443 aberta ao mundo
- Porta 22 aberta apenas para 3 endereços IP
- Nenhum ssh de root remoto é permitido
- Nenhuma senha ssh permitida - apenas logins com chave ssh são permitidos
Com esta configuração eu preciso mesmo do fail2ban e, em caso afirmativo, qual o propósito que ele resolve. Encontrei um tópico que afirma coisas sobre custos de CPU se não estiver usando fail2ban O fail2ban oferece alguma proteção adicional ao SSH se o login por senha já estiver desativado?
Isso é verdade para minha configuração? Entendo que o fail2ban pode ser usado para outros monitoramentos e alertas de log, mas apenas para ssh será um desperdício
Responder1
fail2banA lógica do é bastante simples: se um certo número de tentativas de login ssh com falha forem feitas a partir do mesmo IP, esse IP será temporariamente bloqueado.
Como você expôs a porta 22 apenas a 3 endereços IP, você já está bloqueando o acesso de intrusos ao SSH. Suas outras precauções (sem root, sem senhas) também são muito boas. Com base nas precauções existentes, eu não me preocuparia com o fail2ban.
Algumas pessoas podem dizer que o fail2ban é útil para mais do que ssh, mas com apenas a porta 80/443 exposta, tenho dificuldade em pensar em um caso.
Finalmente, você jávinculado a uma respostaque oferece dois outros benefícios:
- Evitando que o log de autenticação seja preenchido
- Reduz ciclos desnecessários de CPU ao lidar com tentativas de força bruta.
Não acho que nenhum desses benefícios seja para você. Como você está limitando a porta 22 a três endereços IP, não receberá tentativas de endereços IP aleatórios. A única maneira de o fail2ban fazer alguma coisa é se um desses três endereços IP começasse a aplicar força bruta em você, especificamente. É improvável que qualquer força bruta seja bem-sucedida porque você já desativou o root e desativou as senhas. Portanto, esse endereço IP específico seria banido e presumo que seja um problema maior para você, já que está na sua lista e provavelmente é necessário para suas operações.
Responder2
Fail2ban nunca é "obrigatório", mas é útil.
Se o SSH só puder ser acessado por meio de alguns IPS e você geralmente confiar naqueles com acesso a esse IPS, o fail2ban será menos útil para proteger o SSH. Na verdade, pode ser uma dor se alguém tiver problemas para fazer login e, de repente, todo o escritório for bloqueado.
Mas o fail2ban é muito mais do que uma proteção SSH. Sua configuração é bastante complexa, mas pode ser configurada para monitorar qualquer log. Isso significa que seus aplicativos web (nas portas 80 e 443) também podem ser monitorados. Alguns bem sabem. Os aplicativos da Web (como o WordPress) atraem muitas tentativas de hackers indesejadas de bots. Fail2ban também é um bom mecanismo para bani-los.
Portanto, no seu caso, suspeito que o fail2ban não será muito útil para proteger o SSH, mas considere qual proteção você colocará em seus aplicativos da web.