我看過很多貼文展示如何安裝fail2ban和firewalld,並且想知道我的設定是否真的需要fail2ban。
我的設定如下
- VPS 中的 Cent OS 8
- 面向公眾的智慧財產權
- Firewalld 處於活動狀態並阻止除以下內容之外的所有內容
- 80/443埠對外開放
- 22埠只對3個IP位址開放
- 不允許遠端 root ssh
- 不允許使用密碼 ssh - 只允許使用 ssh 金鑰登入
有了這個設置,我甚至需要fail2ban,如果需要,它能解決什麼目的。我發現一個線程聲稱如果不使用fail2ban,則有關CPU成本的信息 如果密碼登入已關閉,fail2ban 是否會為 SSH 提供任何額外的保護?
我的設定是這樣嗎?我可以理解fail2ban可以用於其他日誌監控和警報,但是僅對於ssh來說會是一種浪費
答案1
fail2ban的邏輯非常簡單:如果從相同 IP 進行一定次數的 ssh 登入嘗試失敗,則該 IP 會被暫時封鎖。
由於您僅將連接埠 22 暴露給 3 個 IP 位址,因此您已經阻止了入侵者存取 SSH。你的其他預防措施(沒有root,沒有密碼)也很好。基於這些現有的預防措施,我不會擔心fail2ban。
有人可能會說,fail2ban 比 ssh 更有用,但由於只暴露了 80/443 端口,我很難想出一個案例。
終於,你已經連結到答案它還有另外兩個好處:
- 防止身份驗證日誌被填滿
- 減少處理暴力嘗試時不必要的 CPU 週期。
我認為這些對你都沒有好處。由於您將連接埠 22 限制為三個 IP 位址,因此您不會收到來自隨機 IP 位址的嘗試。 fail2ban 執行任何操作的唯一方法是,如果這三個 IP 位址之一開始專門對您進行暴力破解。任何暴力破解都不太可能成功,因為您已經停用了 root 並停用了密碼。因此,該特定 IP 位址將被禁止,我認為這對您來說是一個更大的問題,因為它在您的候選名單上,並且可能對您的操作是必要的。
答案2
Fail2ban 從來都不是“必需的”,但它很有用。
如果 SSH 只能透過少數 IPS 訪問,並且您通常信任那些有權訪問此 IPS 的人,那麼fail2ban 對於保護 SSH 的用處不大。事實上,如果有人登入出現問題並且突然整個辦公室被封鎖,這可能會很痛苦。
但fail2ban 不僅僅是一種 SSH 保護。它的配置非常複雜,但可以配置為監視任何日誌。這意味著您的 Web 應用程式(連接埠 80 和 443 上)也可以受到監控。有些人很清楚。 Web 應用程式(例如 WordPress)吸引了許多來自機器人的不必要的駭客攻擊。 Fail2ban 也是一個很好的禁止這些機制的機制。
因此,就您的情況而言,我懷疑 failed2ban 對於保護 SSH 沒有多大用處,但請考慮您將為 Web 應用程式提供哪些保護。