Sono in dubbio se dovrei usare l'autenticazione con chiave quando accedo a SSH, o semplicemente per fail2ban + ssh (login root disabilitato).
Fail2ban è sicuro o è davvero meglio andare avanti e generare chiavi e configurarlo su tutti i miei computer client che devono connettersi a ssh?
Risposte:
Lo giudico un prodotto stabile e lo considero sicuro. Come ulteriore precauzione, aggiungerei il tuo indirizzo IP di origine alla ignoreipdirettiva jails.confper assicurarmi di non bloccarti.
Dal momento che analizza i registri ssh, sarà necessario stabilire una sessione TCP, pertanto è improbabile che vengano falsati gli IP di origine e che i numeri delle sequenze TCP siano corretti per creare una sorta di variazione del backscatter.
L'uso dei tasti oltre a questo non è una cattiva idea. Altre opzioni che aiutano stanno spostando ssh su un IP non standard, usando il modulo "recente" iptables, o semplicemente decidendo che non ti interessa se le persone cercano di forzare le password. Vedi questo post serverfault per ulteriori informazioni su questi.
Ogni volta che ho mai implementato denyhosts o fail2ban in un ambiente di produzione, ha creato un flusso di ticket garantito di richieste di sblocco, richieste di reimpostazione password, richieste di modifica delle impostazioni o gestione della whitelist e in genere solo persone che rinunciano ad accedere a esaminare le cose e appoggiarsi maggiormente agli amministratori di sistema per cose che potrebbero fare da sole.
Non è un problema tecnico con nessuno degli strumenti di per sé, ma se i tuoi utenti contano in dozzine o più, sarà un notevole aumento del carico di lavoro di supporto e degli utenti frustrati.
Inoltre, il problema che risolvono è che riducono il rischio di attacchi di login ssh a forza bruta. Onestamente, il rischio è incredibilmente piccolo fintanto che hai anche una politica delle password moderatamente decente.
Uso da alcuni anni e almeno è una buona protezione contro i kiddie degli script.
Nessun accesso root, oltre a password abbastanza lunghe e casuali e fail2ban e forse una porta diversa è abbastanza sicuro per la maggior parte di noi.
Naturalmente le chiavi ssh sono molto meglio della sicurezza.
Ho usato denyhosts in molti dei miei server di produzione e non di produzione, e funziona davvero bene (ho avuto problemi con la sincronizzazione dei demoni, quindi non lo uso ora, ma forse funziona di nuovo bene).
Non solo rende il tuo sistema più sicuro, ma ti aiuta a mantenere registri più puliti e semplicemente a tenere fuori le persone indesiderate dalle schermate di accesso ...
Ho eseguito Fail2Ban per un po 'di tempo e solo recentemente ho visto tentativi distribuiti di entrare nel mio server SSH. Non riusciranno mai al ritmo con cui vanno, ma l'ho tenuto d'occhio.
Sono passati attraverso un dizionario, ogni IP prova due volte, dopo che questi tentativi falliscono un altro IP fa lo stesso, ecc. Ho preso in considerazione l'idea di vietare IP che provano nomi utente sconosciuti x volte. Ma finora ho ottenuto alcune migliaia di IP diversi che cercano di entrare; e sono preoccupato che anche se li blocco tutti ci sarà ancora di più.
.conffile e invece di mettere le configurazioni in.localfile. Questo rende anche gli aggiornamenti molto più semplici, poiché nessuno dei tuoi file locali viene sovrascritto.