fail2ban é seguro? Melhor usar chaves ssh?

11

Estou em dúvida se devo usar a autenticação de chave ao fazer login no SSH ou simplesmente optar por fail2ban + ssh (login root desativado).

O fail2ban é seguro ou é realmente melhor ir em frente e gerar chaves e configurações que em todas as minhas máquinas clientes que precisam se conectar ao ssh?

solsol
fonte

Respostas:

12

Eu o considero um produto estável e o considero seguro. Como precaução extra, eu adicionaria seu endereço IP de origem à ignoreipdiretiva no jails.confpara garantir que você não se bloqueie.

Como ele analisa os logs ssh, uma sessão TCP terá que ser estabelecida para falsificar os IPs de origem e obter os números de seqüências TCP corretos para criar uma espécie de variação de retroespalhamento parece improvável.

Usar teclas em cima disso também não é uma má idéia. Outras opções que ajudam a mover o ssh para um IP fora do padrão, usando o módulo iptables "recente" ou apenas decidindo que você não se importa se as pessoas tentam usar senhas de força bruta. Veja esta publicação de falha no servidor para obter mais informações.

Kyle Brandt
fonte
4
As instruções do Fail2Ban dizem para não editar nenhum dos .confarquivos e, em vez disso, colocar suas configurações nos .localarquivos. Isso também facilita muito as atualizações, pois nenhum dos seus arquivos locais é substituído.
Chris S
Chris S: Obrigado por essa dica ... Vou tentar fazer uma nota mental :-)
Kyle Brandt
3

Toda vez que eu implementei denyhosts ou fail2ban em um ambiente de produção, ele criou um fluxo de tickets garantido de solicitações de desbloqueio, solicitações de redefinição de senha, solicitações para alterar as configurações ou gerenciar a lista de permissões, e geralmente apenas as pessoas que desistem de fazer login no investigar as coisas e se apoiar mais nos administradores de sistemas por coisas que eles mesmos poderiam fazer.

Não é um problema técnico com nenhuma das ferramentas em si, mas se o número de usuários chegar a dezenas ou mais, será um aumento notável na carga de trabalho de suporte e usuários frustrados.

Além disso, o problema que eles resolvem é que reduzem o risco de ataques de login ssh de força bruta. Honestamente, o risco disso é incrivelmente pequeno, desde que você tenha uma política de senha moderadamente decente.

cagenut
fonte
1
No último servidor que eu coloquei on-line, tive uma solicitação de login com falha de 30k nos meus logs ... apenas em três dias! Mesmo com uma boa política de senhas, apenas para evitar esses grandes logs e todo esse ruído e risco, é uma boa ferramenta. Eu uso denyhosts e fazer um bom ajuste dos arquivos de configuração e assim ...
Andor
1
Coloquei o limite em 10 logins com falha em 10 minutos (para SSH, IMAP etc.) e nunca tive um usuário autorizado bloqueado. as configurações padrão são um pouco rígidas e os usuários as atingem de vez em quando; limites mais altos geralmente só capturam tentativas de força bruta; o que eu concordo é improvável, mas também concordo com o Andor que ajuda no tamanho do log.
Chris S
oh não 10MB de espaço em disco desperdiçado
cagenut
2

Eu uso há alguns anos e pelo menos é uma boa proteção contra crianças de script.
Nenhum logon raiz, senhas muito longas e aleatórias e fail2ban e talvez uma porta diferente é para a maioria de nós bastante segura.
É claro que as chaves ssh são muito melhores como segurança.

PiL
fonte
0

Eu tenho usado denyhosts em vários dos meus servidores de produção e não produção, e funciona muito bem (tive problemas com a sincronização de daemon, então não a uso agora, mas talvez esteja funcionando novamente).

Não apenas torna seu sistema mais seguro, mas também ajuda a manter registros mais limpos e simplesmente afastar pessoas indesejadas das telas de login ...

Andor
fonte
0

Executei o Fail2Ban por um tempo agora e, recentemente, vi tentativas distribuídas de invadir meu servidor SSH. Eles nunca serão bem-sucedidos no ritmo em que estão indo, mas eu estou de olho nisso.

Eles estão passando por um dicionário, cada IP tenta duas vezes, depois que essas tentativas falham, outro IP faz o mesmo etc. Pensei em proibir IPs que tentam nomes de usuário desconhecidos x vezes. Mas até agora consegui alguns milhares de IPs diferentes tentando entrar; e estou preocupado que, mesmo que eu os bloqueie, ainda haverá mais.

Chris S
fonte