Saya ragu apakah saya harus menggunakan otentikasi kunci ketika masuk ke SSH, atau hanya pergi untuk fail2ban + ssh (login root dinonaktifkan).
Apakah fail2ban aman atau apakah lebih baik langsung saja membuat kunci dan mengonfigurasi itu pada semua mesin klien saya yang perlu terhubung ke ssh?
Jawaban:
Saya menilai itu sebagai produk yang stabil dan saya menganggapnya aman. Sebagai tindakan pencegahan tambahan saya akan menambahkan alamat IP sumber Anda ke ignoreiparahan dalam jails.confuntuk memastikan Anda tidak memblokir diri Anda sendiri.
Karena ia mem-parsing ssh log sesi TCP akan harus ditetapkan sehingga spoofing IP sumber dan mendapatkan nomor sekuens TCP yang tepat untuk membuat semacam variasi backscatter tampaknya tidak mungkin.
Menggunakan kunci di atas ini juga bukan ide yang buruk. Opsi lain yang membantu adalah memindahkan ssh ke IP yang tidak standar, menggunakan modul iptables "baru-baru ini", atau hanya memutuskan Anda tidak peduli jika orang mencoba kasar memaksa kata sandi. Lihat posting serverfault ini untuk lebih lanjut tentang ini.
Setiap kali saya menerapkan denyhosts atau fail2ban dalam lingkungan produksi, ia telah membuat aliran tiket dijamin dari permintaan pembuka kunci, permintaan pengaturan ulang kata sandi, permintaan untuk mengubah pengaturan atau mengelola daftar putih, dan umumnya hanya orang yang menyerah untuk masuk ke melihat ke dalam hal-hal dan bersandar lebih pada sysadmin untuk hal-hal yang bisa mereka lakukan sendiri.
Ini bukan masalah teknis dengan salah satu alat per-se, tetapi jika jumlah pengguna Anda dalam lusinan atau lebih besar itu akan menjadi peningkatan nyata dalam beban kerja dukungan dan pengguna frustrasi.
Juga, masalah yang mereka selesaikan adalah mereka mengurangi risiko serangan masuk brute force ssh. Jujur, risiko itu sangat kecil asalkan Anda bahkan memiliki kebijakan kata sandi yang cukup baik.
Saya menggunakan sejak beberapa tahun dan setidaknya merupakan perlindungan yang baik terhadap skrip kiddies.
Tidak ada login root, ditambah password yang cukup panjang dan acak dan fail2ban dan mungkin port yang berbeda bagi kebanyakan dari kita cukup aman.
Tentu saja kunci ssh jauh lebih baik daripada keamanan.
Saya telah menggunakan denyhosts di beberapa server produksi dan non-produksi saya, dan berfungsi dengan sangat baik (saya punya masalah dengan sinkronisasi daemon, jadi saya tidak menggunakannya sekarang, tapi mungkin itu berfungsi dengan baik lagi).
Tidak hanya membuat sistem Anda lebih aman, tetapi juga membantu Anda menyimpan log yang lebih bersih dan hanya mengusir orang yang tidak diinginkan dari layar login Anda ...
Saya telah menjalankan Fail2Ban untuk sementara waktu sekarang, dan baru-baru ini saya melihat upaya terdistribusi untuk masuk ke server SSH saya. Mereka tidak akan pernah berhasil pada tingkat mereka, tapi aku sudah mengawasinya.
Mereka telah melalui kamus, masing-masing IP mencoba dua kali, setelah upaya tersebut gagal IP lain melakukan hal yang sama, dll. Saya telah mempertimbangkan untuk melarang IP yang mencoba nama pengguna yang tidak dikenal sebanyak x kali. Tapi sejauh ini saya sudah mendapatkan beberapa ribu IP berbeda yang mencoba masuk; dan saya khawatir bahwa bahkan jika saya memblokir mereka semua masih akan ada lagi.
.conffile apa pun dan alih-alih menaruh konfigurasi Anda dalam.localfile. Ini juga membuat upgrade lebih mudah, karena tidak ada file lokal Anda yang ditimpa.