Я видел много постов, показывающих, как установить fail2ban вместе с firewalld, и хотел узнать, действительно ли fail2ban необходим для моей установки.
Моя установка следующая
- Cent OS 8 в VPS
- Публичный IP-адрес
- Firewalld активен и блокирует все, кроме указанного ниже
- Порт 80/443 открыт для мира
- Порт 22 открыт только для 3 IP-адресов
- Удаленный root-доступ по ssh не допускается
- Без пароля ssh разрешен - разрешен только вход по ssh-ключу
При такой настройке мне вообще нужен fail2ban и если да, то какую задачу он решает. Я нашел ветку, в которой утверждается о расходах на процессор, если не использовать fail2ban Предлагает ли fail2ban дополнительную защиту SSH, если вход по паролю уже отключен?
Это правда для моей настройки? Я понимаю, что fail2ban можно использовать для мониторинга других журналов и оповещений, но для ssh это будет пустой тратой времени.
решение1
fail2banЛогика довольно проста: если с одного и того же IP-адреса совершено определенное количество неудачных попыток входа по SSH, этот IP-адрес временно блокируется.
Поскольку вы открыли порт 22 только для 3 IP-адресов, вы уже блокируете доступ злоумышленников к SSH. Ваши другие меры предосторожности (никакого root, никаких паролей) также очень хороши. Исходя из этих существующих мер предосторожности, я бы не беспокоился о fail2ban.
Некоторые могут сказать, что fail2ban полезен не только для SSH, но поскольку открыт только порт 80/443, мне сложно придумать подходящий вариант.
Наконец, вы ужесвязано с ответомчто дает еще два преимущества:
- Предотвращение заполнения журнала аутентификации
- Уменьшает ненужные циклы ЦП, возникающие при попытках подбора пароля.
Я не думаю, что что-либо из этого принесет вам пользу. Поскольку вы ограничиваете порт 22 тремя IP-адресами, вы не будете получать попыток со случайных IP-адресов. Единственный способ, которым fail2ban мог бы что-то сделать, это если бы один из этих трех IP-адресов начал брутфорсить вас конкретно. Любой брутфорс вряд ли будет успешным, потому что вы уже отключили root и отключили пароли. Поэтому этот конкретный IP-адрес будет забанен, и я предполагаю, что это большая проблема для вас, поскольку он в вашем списке и, вероятно, необходим для ваших операций.
решение2
Fail2ban никогда не является «обязательным», однако он полезен.
Если доступ к SSH возможен только через несколько IPS, и вы в целом доверяете тем, у кого есть доступ к этому IPS, то fail2ban менее полезен для защиты SSH. Действительно, это может быть неприятно, если у кого-то возникнут проблемы со входом в систему, и он внезапно заблокирует весь офис.
Но fail2ban — это гораздо больше, чем просто защита SSH. Его конфигурация довольно сложна, но его можно настроить для просмотра любого журнала. Это означает, что ваши веб-приложения (на портах 80 и 443) также могут отслеживаться. Некоторые хорошо знают. Веб-приложения (например, WordPress) привлекают множество нежелательных попыток взлома со стороны ботов. Fail2ban также является хорошим механизмом для их запрета.
Так что в вашем случае я подозреваю, что fail2ban не будет особо полезен для защиты SSH, но подумайте, какую защиту вы установите для своих веб-приложений.