Назад | Перейти на главную страницу

Стоит ли блокировать неудачные попытки входа в систему

Стоит ли бежать fail2ban, sshdfilter или аналогичные инструменты, которые заносят в черный список IP-адреса, которые пытаются и не могут войти в систему?

Я видел, как это спорили что это театр безопасности на "должным образом защищенном" сервере. Однако мне кажется, что это, вероятно, заставит «скриптовых малышек» перейти к следующему серверу в своем списке.

Допустим, мой сервер «должным образом защищен», и я не беспокоюсь о том, что атака грубой силой действительно увенчается успехом - эти инструменты просто поддерживают чистоту моих файлов журналов, или я получаю какие-либо полезные преимущества в блокировании попыток атаки грубой силой?

Обновить: Много комментариев о подборе паролей методом перебора - я упоминал, что меня это не беспокоит. Возможно, мне следовало быть более конкретным и спросить, имеет ли fail2ban какие-либо преимущества для сервера, который позволяет входить в систему только по ключу ssh.

Ограничение скорости попыток входа в систему - простой способ предотвратить некоторые высокоскоростные атаки подбора пароля. Однако сложно ограничить распределенные атаки, и многие из них выполняются с низкой скоростью в течение недель или месяцев. Я лично предпочитаю избегать использования инструментов автоматического ответа, таких как fail2ban. И это по двум причинам:

  1. Легальные пользователи иногда забывают свои пароли. Я не хочу запрещать легитимным пользователям доступ к моему серверу, заставляя меня снова вручную включать их учетные записи (или, что еще хуже, попытаться выяснить, какой из 100/1000 заблокированных IP-адресов принадлежит им).
  2. IP-адрес не является хорошим идентификатором для пользователя. Если у вас есть несколько пользователей за одним IP-адресом (например, школа, в которой работает NAT на 500 студенческих машинах), один пользователь, сделавший несколько неверных предположений, может привести вас в мир боли. При этом большинство наблюдаемых мной попыток подбора пароля являются распределенными.

Поэтому я не считаю fail2ban (и аналогичные инструменты автоматического ответа) очень хорошим подходом к защите сервера от атак грубой силы. Простые правила IPTables, установленные для сокращения спама в журналах (который у меня есть на большинстве моих серверов Linux), выглядят примерно так:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Это предотвращает более 4 попыток подключения с одного IP-адреса к ssh за любой 60-секундный период. С остальным можно справиться, убедившись, что пароли достаточно надежны. На серверах с высоким уровнем безопасности принуждение пользователей к использованию аутентификации с открытым ключом - еще один способ перестать гадать.

Такие инструменты, как fail2ban, помогают уменьшить ненужный сетевой трафик и сделать файлы журналов немного меньше и чище. Это не большое средство безопасности, но немного облегчает жизнь системному администратору; вот почему я рекомендую использовать fail2ban в системах, где вы можете себе это позволить.

Дело не только в сокращении шума - большинство ssh-атак пытаются угадать пароли методом перебора. Итак, хотя вы увидите множество неудачных попыток ssh, возможно, к 2034-й попытке они смогут получить действительное имя пользователя / пароль.

Преимущество fail2ban в сравнении с другими подходами заключается в том, что он оказывает минимальное влияние на попытки допустимого соединения.

Что ж, это несколько спасает вашу сеть от атак отказа и сокращает накладные расходы на обработку сбоев.

Не быть самым слабым сервером в списке скриптовых детей - это всегда хорошо.

Извините, но я бы сказал, что ваш сервер должным образом защищен, если ваш sshd отказывается от попыток аутентификации с паролями.

PasswordAuthentication no