С помощью fail2ban для защиты сервера Ubuntu 12.04 x64 на DigitalOcean, при редактировании /etc/fail2ban/jail.local вот эта часть:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
Это IP-адрес, с которого будет подключаться администратор, но есть ли какое-либо решение, если у администратора динамический IP-адрес?
Или это просто противоречит цели?
В лучшем случае вы можете занести в белый список диапазон IP-адресов, в котором находится ваш администратор, но тогда вы уязвимы для атак из этого диапазона. Это все равно поможет (большая часть грубой силы исходит от других стран / интернет-провайдеров), но не идеально.
Если банит только после, скажем, 5 неверных попыток, действительно ли это проблема? Как часто ваш администратор будет блокировать себя? Если они не могут вспомнить пароли, может быть, вы могли бы посмотреть ключи SSH?
Если админы будут подключаться с динамических IP-адресов, я могу придумать 3 разных варианта:
Fail2ban - это программная среда для предотвращения вторжений, которая защищает компьютерные серверы от атак методом грубой силы. - Википедия
Параметр ignoreip не предназначен для подключений администратора, и его следует использовать с умом. Например, в частных сетях, где вы находитесь в другой VLAN, чем остальные пользователи, но даже тогда это не следует учитывать (что, если злоумышленник находится в вашей VLAN?).
Если вы знаете пароль сервера, то вы не будете банить себя, но если вы потерпите неудачу 3 раза (или настроен maxretry), попробуйте еще раз позже (время блокировки в секундах).
Я настоятельно рекомендую использовать SSH-ключ, поскольку они более безопасны. И проверьте свою конфигурацию, чтобы убедиться, что она работает хорошо, проверяя неверные пользователи, неверные пароли и т. Д. (Да, это означает банить себя).