Pregunta ¿Es fail2ban seguro? ¿Mejor usar teclas ssh?


Tengo dudas sobre si debo usar la autenticación de clave al iniciar sesión en SSH o simplemente ir a fail2ban + ssh (inicio de sesión de raíz desactivado).

¿Es fail2ban seguro o es realmente mejor simplemente seguir adelante y generar claves y configuraciones que en todas las máquinas de mis clientes que necesitan conectarse a ssh?


11
2018-06-22 14:31


origen




Respuestas:


Lo juzgo como un producto estable y lo considero seguro. Como precaución adicional, agregaría su dirección IP de origen a la ignoreip directiva en el jails.conf para asegurarse de que no se bloquee.

Dado que analiza los registros ssh, será necesario establecer una sesión TCP, por lo que es poco probable que se falsifiquen las IP de origen y se obtengan los números de secuencias TCP correctos para crear una especie de variación de retrodifusión.

Usar teclas encima de esto tampoco es una mala idea. Otras opciones que ayudan a mover ssh a una IP no estándar, usando el módulo "reciente" de iptables, o simplemente decidiendo que no le importa si la gente trata de forzar contraseñas de fuerza bruta. Ver este servidor falla publicar para más sobre estos.


11
2018-06-22 14:38



Las instrucciones de Fail2Ban dicen no editar ninguno de los .confarchivos y en su lugar para poner sus configuraciones en .local archivos. Esto también hace que las actualizaciones sean mucho más fáciles, ya que ninguno de sus archivos locales se sobrescribe. - Chris S
Chris S: Gracias por ese consejo ... intentaré hacer una nota mental :-) - Kyle Brandt♦


Cada vez que he implementado denyhosts o fail2ban en un entorno de producción, se ha creado un flujo de tickets garantizado de solicitudes de desbloqueo, solicitudes de restablecimiento de contraseñas, solicitudes para cambiar la configuración o administrar la lista blanca y, en general, solo personas que dejan de iniciar sesión en investiga las cosas y apóyate más en los administradores de sistemas para encontrar cosas que ellos mismos puedan hacer.

No es un problema técnico con ninguna de las dos herramientas, pero si sus usuarios suman decenas o más, será un aumento notable en la carga de trabajo de soporte y los usuarios frustrados.

Además, el problema que resuelven es que reducen el riesgo de ataques de inicio de sesión de fuerza bruta ssh. Honestamente, el riesgo de eso es increíblemente pequeño siempre que tenga una política de contraseña moderadamente decente.


3
2018-06-22 15:50



En el último servidor que puse en línea, tuve una solicitud de inicio de sesión fallida de 30k en mis registros ... ¡solo en tres días! Incluso con una buena política de contraseñas, solo por evitar los grandes registros y todo ese ruido y riesgo, es una buena herramienta. Uso denyhosts y hago un buen ajuste de los archivos de configuración y así ... - Andor
Puse el umbral en 10 inicios de sesión fallidos en 10 minutos (para SSH, IMAP, etc.) y nunca tuve un usuario autorizado que se bloquee. la configuración predeterminada es un poco apretada, y los usuarios los golpean de vez en cuando; los límites más altos generalmente solo atrapan intentos de fuerza bruta; Estoy de acuerdo en que es poco probable, pero también estoy de acuerdo con Andor en que ayuda con el tamaño del registro. - Chris S
oh no 10mb de espacio en disco perdido - cagenut


Lo uso desde hace unos años y al menos es una buena protección contra los niños script.
Sin inicio de sesión de raíz, además de contraseñas bastante largas y aleatorias y fail2ban y quizás un puerto diferente es lo suficientemente seguro para la mayoría de nosotros.
Por supuesto las claves ssh son mucho mejores como seguridad.


2
2018-06-22 14:49





He estado usando denyhosts en varios de mis servidores de producción y no de producción, y funciona muy bien (tuve problemas con la sincronización de daemon, por lo que no lo uso ahora, pero quizás esté funcionando bien de nuevo).

No solo hace que su sistema sea más seguro, sino que también le ayuda a mantener registros más limpios y simplemente mantener fuera a las personas no deseadas fuera de sus pantallas de inicio de sesión ...


0
2018-06-22 15:43





He ejecutado Fail2Ban por un tiempo, y recientemente he visto intentos distribuidos de ingresar a mi servidor SSH. Nunca tendrán éxito al ritmo en que van, pero he estado vigilando.

Han estado revisando un diccionario, cada IP lo intenta dos veces, luego de que esos intentos fallan, otra IP hace lo mismo, etc. He considerado prohibir las IP que intentan nombres de usuarios desconocidos x veces. Pero hasta ahora he conseguido unos cuantos miles de IP diferentes intentando ingresar; y me preocupa que, aunque los bloquee, habrá más.


0
2018-06-22 15:51