Я провел много исследований по Advanced Policy Firewall (APF) и Fail2Ban. У меня есть VPS под атакой грубой силы SSH. Я склоняюсь к APF и просто пропускаю свои несколько IP-адресов. Тем не менее, я хотел бы иметь удобство использования любого iP, который я хочу, что возможно с Fail2Ban.
Поскольку Fail2Ban сканирует журналы и записывает в IP-таблицы, есть ли у кого-нибудь опыт, какой из них лучше для безопасности и производительности VPS для экономии ресурсов? Я знаю, что они могут работать вместе, но хотел бы выбрать одного.
Оба брандмауэра являются лучшими в отрасли. При выборе лучшего следует учитывать индивидуальные требования и требования среды.
Я бы предпочел Fail2ban APF,
По умолчанию fail2ban настроен на работу с iptables.
Fail2ban добавляет цепочку в iptables.
У нас есть гибкость (вы можете написать свои собственные предупреждения и фильтры) настройки fail2ban для множества различных действий, это позволяет ему работать с iptables, shorewall и т. Д.
Сама услуга невероятно проста для большинства пользователей, потому что большая часть сложной настройки была сделана за вас.
Файлы конфигурации кажутся намного более организованными и по своей природе кажутся более гибкими.
Однако, когда вы отклоняетесь от стандартной конфигурации, полезно знать, как работает fail2ban, чтобы управлять его поведением предсказуемым образом.
Укажите путь к любому файлу журнала (apache, ssh, nginx, почтовый сервер, ...).
Укажите регулярное выражение для шаблонов атаки (например, более 10 «ошибок 404» с одним и тем же IP-адресом в журнале доступа nginx за 6 секунд)
Укажите регулярное выражение, чтобы игнорировать определенные шаблоны (очень полезно!)
Укажите время бана
Отправить электронное письмо (или любое другое предупреждение ...)
Примечание: уделите время повторному поиску того, что лучше всего для вашей среды, так как все обновления будут основываться на доступности и настройке для нашей среды.