Итак, если я могу войти в свой ящик только по SSH, настроив соответствующие ключи RSA, есть ли смысл в использовании Denyhosts для SSH? Или Denyhosts смотрит только на ввод с клавиатуры и пароль для SSH?
Не поймите меня неправильно, Denyhosts - абсолютный Mac-папа, но я недавно полностью отключил интерактивный вход с клавиатуры и подумал, стоит ли продолжать работу Denyhosts.
(Если вы не знаете Denyhosts, он в основном поддерживает - и использует - черный список IP-адресов людей, которые пытаясь чтобы войти в SSH, но с неправильным именем пользователя / паролем и т. д.)
Насколько я понимаю, есть две причины продолжать использовать DenyHosts:
Если что-то из этого для вас не имеет значения, DenyHosts ничего для вас не делает.
Чтобы добавить к другим ответам, есть одно предостережение, с которым я столкнулся (в виде уведомления в ArchWiki), когда читал о таких инструментах, как denyhosts (например, Fail2ban):
Предупреждение: использование черного списка IP-адресов остановит тривиальные атаки, но для этого требуется дополнительный демон и успешное ведение журнала (раздел, содержащий / var, может заполниться, особенно если злоумышленник обрушивается на сервер). Кроме того, если злоумышленник знает ваш IP-адрес, он может отправлять пакеты с поддельным заголовком источника и заблокировать вас на сервере. ...
Поэтому, особенно если вы разрешаете только аутентификацию с открытым ключом, возможно, стоит подумать об использовании нестандартного порта (чтобы избежать слепых атак на порт 22) и намеренно не использовать denyhosts.
Зависит от других служб, работающих на этом компьютере. Если это веб-сервер с интернет-магазином, вы можете потерять бизнес из-за неправильно заблокированного хоста - хотя это кажется маловероятным, особенно если вы используете только свои собственные данные denyhost.
С другой стороны, если вы используете другие службы, которые могут быть менее безопасными, чем ваш заблокированный сервер ssh - возможно, стоит сохранить отказ, чтобы защитить другие ваши службы, если злоумышленник утомляет ваш ssh или действительно, если вы используете общие данные.
Короче говоря, если вы не беспокоитесь о ложных срабатываниях (например, у людей, которые могут не получить доступ к серверу, есть другой способ связаться с вами, и это не повредит никаким отношениям с ними!), То нет причин не отказываться от этого. продолжайте отрицать хосты. Также это весело;)
Это сводит к минимуму возможность «плохого актера / человека» захлопнуть дополнительные ресурсы.