Vale a pena correrfail2ban,filtro sshd ou ferramentas semelhantes, quais endereços IP da lista negra que tentam e não conseguem fazer login?
Eu vi isso discutidoque este é um teatro de segurança em um servidor "devidamente protegido". No entanto, acho que isso provavelmente faz com que os script kiddies passem para o próximo servidor de sua lista.
Digamos que meu servidor esteja "devidamente protegido" e não estou preocupado com o fato de um ataque de força bruta ser realmente bem-sucedido - essas ferramentas estão simplesmente mantendo meus arquivos de log limpos ou estou obtendo algum benefício valioso ao bloquear tentativas de ataque de força bruta?
Atualizar: Muitos comentários sobre adivinhação de senhas por força bruta - mencionei que não estava preocupado com isso. Talvez eu devesse ter sido mais específico e perguntado se o fail2ban traz algum benefício para um servidor que permite apenas logins SSH baseados em chave.
Responder1
A limitação da taxa de tentativas de login é uma maneira fácil de evitar alguns dos ataques de adivinhação de senha em alta velocidade. No entanto, é difícil limitar os ataques distribuídos e muitos deles são executados em ritmo lento durante semanas ou meses. Pessoalmente, prefiro evitar o uso de ferramentas de resposta automatizada como o fail2ban. E isso ocorre por dois motivos:
- Às vezes, usuários legítimos esquecem suas senhas. Não quero banir usuários legítimos do meu servidor, forçando-me a habilitar manualmente suas contas novamente (ou pior, tentar descobrir qual dos 100/1000 endereços IP banidos é deles).
- Um endereço IP não é um bom identificador para um usuário. Se você tiver vários usuários atrás de um único IP (por exemplo, uma escola que executa NAT em máquinas de 500 alunos), um único usuário fazendo algumas suposições erradas pode levá-lo a um mundo de dor. Ao mesmo tempo, a maioria das tentativas de adivinhação de senha que vejo são distribuídas.
Portanto, não considero o fail2ban (e ferramentas de resposta automatizada semelhantes) uma abordagem muito boa para proteger um servidor contra ataques de força bruta. Um conjunto simples de regras do IPTables para reduzir o spam de log (que tenho na maioria dos meus servidores Linux) é algo assim:
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Impede mais de 4 tentativas de conexão de um único IP para ssh em qualquer período de 60 segundos. O resto pode ser resolvido garantindo que as senhas sejam razoavelmente fortes. Em servidores de alta segurança, forçar os usuários a usar autenticação de chave pública é outra maneira de parar de adivinhar.
Responder2
Ferramentas como o fail2ban ajudam a reduzir o tráfego de rede desnecessário e a manter os arquivos de log um pouco menores e mais limpos. Não é uma grande solução para a segurança, mas torna a vida do administrador de sistemas um pouco mais fácil; é por isso que recomendo usar o fail2ban em sistemas onde você pode pagar.
Responder3
Não se trata apenas de reduzir o ruído - a maioria dos ataques ssh tenta adivinhar as senhas com força bruta. Portanto, embora você veja muitas tentativas de ssh com falha, talvez quando chegar a 2.034ª tentativa, eles possam obter um nome de usuário/senha válidos.
O bom do fail2ban em comparação com outras abordagens é que ele tem efeito mínimo nas tentativas de conexões válidas.
Responder4
Desculpe, mas eu diria que seu servidor está devidamente protegido se o seu sshd recusar tentativas de autenticação com senhas.
PasswordAuthentication no