리눅스 서버 보안, 특히 무차별 대입 공격 과 fail2ban vs custom iptables 사용 에 관한 커뮤니티의 두뇌를 선택하고 싶습니다 .
비슷한 질문이 몇 개 있지만 그 중 어느 것도 내 만족을 주제로 다루지 않습니다. 요컨대 나는 무차별 대입 공격으로부터 인터넷에 노출 된 Linux 서버 (일반 서비스, ssh, 웹, 메일 실행)를 보호하는 최상의 솔루션을 결정하려고합니다.
루트 또는 비밀번호 로그인을 허용하지 않고, 기본 포트를 변경하고, 소프트웨어를 최신 상태로 유지하고, 로그 파일을 확인하고, 특정 호스트 만 서버에 액세스하고 보안을 사용하여 ssh를 잠그는 등 서버 보안을 적절히 처리하고 있습니다. 일반적인 보안 준수를 위해 Lynis ( https://cisofy.com/lynis/ ) 와 같은 감사 도구를 사용해야하므로이 질문은 반드시 입력과 조언이 항상 환영이 되지만 반드시 그런 것은 아닙니다 .
내 질문은 어떤 솔루션을 사용해야하는지 (fail2ban 또는 iptables), 어떻게 구성해야합니까, 아니면 무차별 대입 공격을 방지하기 위해이 둘을 조합하여 사용해야합니까?
주제에 관한 흥미로운 응답이 있습니다 ( Denyhosts vs fail2ban vs iptables-무차별 강제 로그온을 방지하는 가장 좋은 방법은 무엇입니까? ). 나에게 가장 흥미로운 대답은 https://serverfault.com/a/128964 이며 iptables 라우팅 은 사용자 모드 도구를 사용하여 로그 파일을 구문 분석하는 fail2ban과 달리 커널에서 발생 합니다. Fail2ban은 물론 iptables를 사용하지만 작업을 수행 할 때까지 로그 파일을 구문 분석하고 패턴을 일치시켜야합니다.
그런 다음 iptables를 사용하고 속도 제한 ( https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/ )을 사용하여 일정 기간 동안 IP에서 요청을 삭제 하는 것이 합리적입니까? 연결하려는 프로토콜에 관계없이 특정 기간 동안 너무 많은 연결 시도를하는 시간? 그렇다면 해당 패킷에 드롭 대 거부를 사용하는 것에 대한 흥미로운 생각이 있습니다 ( http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject ).
Fail2ban은 기본 구성에서 해결되지 않을 수있는 서비스에 대해 사용자 정의 ' 규칙 ' 을 작성할 수있는 형태로 사용자 정의 구성을 허용 합니다. 설치 및 설정이 쉽고 강력하지만 x 값을 초과하는 서비스 / 프로토콜에서 2 번의 액세스 시도가 실패하면 서버에서 IP 를 ' 차단 '하는 것만으로도 과잉이 될 수 있습니다 시간?
여기서의 목표는 매일 로그 워치 보고서를 열고 서버에 연결에 실패한 페이지를 스크롤 할 필요가 없습니다.
시간 내 주셔서 감사합니다.