fail2ban은 안전합니까? ssh 키를 사용하는 것이 더 낫습니까?

SSH에 로그인 할 때 키 인증을 사용 해야하는지, 아니면 fail2ban + ssh (루트 로그인 비활성화)로 이동 해야하는지 의심 스럽습니다.

fail2ban이 안전합니까 아니면 ssh에 연결 해야하는 모든 클라이언트 컴퓨터에서 키를 생성하고 구성하는 것이 더 낫습니까?

나는 그것을 안정적인 제품으로 판단하고 안전하다고 생각합니다. 추가 예방 조치로 소스 IP 주소를 ignoreip지시문에 추가하여 jails.conf자신을 차단하지 않도록하십시오.

ssh 로그를 구문 분석하기 때문에 TCP 세션을 설정해야 소스 IP를 스푸핑하고 일종의 백스 캐터 변형을 생성하기 위해 TCP 시퀀스 번호를 얻는 것이 거의 불가능합니다.

이 위에 키를 사용하는 것도 나쁜 생각이 아닙니다. "최근"iptables 모듈을 사용하거나 ssh를 비표준 IP로 옮기는 데 도움이되는 다른 옵션은 사람들이 강제 암호를 무력화하려고하는지 상관하지 않기로 결정하는 것입니다. 이에 대한 자세한 내용은 이 serverfault 게시물을 참조하십시오 .

프로덕션 환경에서 거부 호스트 또는 fail2ban을 구현할 때마다 잠금 해제 요청, 암호 재설정 요청, 설정 변경 또는 화이트리스트 관리 요청 및 일반적으로 로그인을 포기하는 사람들의 티켓 스트림을 보장했습니다. 사물을 조사하고 시스템 관리자가 스스로 할 수있는 일에 대해 더 많이 의지하십시오.

도구 자체의 기술적 인 문제는 아니지만 수십 명 이상의 사용자가 지원 워크로드와 좌절 된 사용자를 눈에 띄게 증가시킬 것입니다.

또한 그들이 해결하는 문제는 무차별 ssh 로그인 공격의 위험을 줄이는 것입니다. 솔직히 말해서, 당신이 적당히 괜찮은 비밀번호 정책을 가지고 있다면 그 위험은 엄청나게 작습니다.

나는 몇 년 동안 사용하고 적어도 스크립트 키드에 대한 좋은 보호입니다.
루트 로그온이 없으며 꽤 길고 임의의 암호와 fail2ban 및 아마도 다른 포트가 대부분의 사람들에게 충분합니다.
물론 ssh 키는 보안보다 훨씬 좋습니다.

여러 프로덕션 및 비 프로덕션 서버에서 거부 호스트를 사용하고 있으며 실제로 작동합니다 (데몬 동기화에 문제가 있었으므로 지금은 사용하지 않지만 다시 작동합니다).

시스템을 더 안전하게 만들뿐만 아니라 로그를 깨끗하게 유지하고 로그인 화면에서 원하지 않는 사람들을 차단하는 데 도움이됩니다 ...

나는 잠시 동안 Fail2Ban을 실행했으며 최근에 SSH 서버에 침입하려는 분산 시도를 보았습니다. 그들은 그들의 속도로 결코 성공하지 못할 것이지만, 나는 그것에 주목하고 있습니다.

그들은 사전을 겪어 왔고, 각 IP는 두 번 시도하고, 시도가 실패한 후에 다른 IP도 마찬가지입니다. 나는 알 수없는 사용자 이름을 x 번 시도하는 IP 금지를 고려했습니다. 그러나 지금까지 나는 수천 개의 다른 IP를 얻었습니다. 그리고 그것들을 모두 차단하더라도 여전히 더 많은 것이 걱정됩니다.