Tengo dudas sobre si debo usar la autenticación de clave al iniciar sesión en SSH, o simplemente elegir fail2ban + ssh (inicio de sesión raíz deshabilitado).
¿Es seguro fail2ban o es realmente mejor seguir adelante y generar claves y configurarlas en todas mis máquinas cliente que necesitan conectarse a ssh?
Lo juzgo como un producto estable y lo considero seguro. Como precaución adicional, agregaría su dirección IP de origen a la ignoreipdirectiva jails.confpara asegurarme de que no se bloquee.
Dado que analiza los registros ssh, será necesario establecer una sesión TCP, por lo que es poco probable que se falsifiquen las direcciones IP de origen y se obtengan los números de secuencias TCP correctos para crear una especie de variación de retrodispersión.
Usar teclas encima de esto también no es una mala idea. Otras opciones que ayudan son mover ssh a una IP no estándar, usar el módulo iptables "reciente" o simplemente decidir que no le importa si las personas intentan forzar contraseñas de fuerza bruta. Consulte esta publicación predeterminada del servidor para obtener más información al respecto.
Las instrucciones de Fail2Ban dicen que no edite ninguno de los .confarchivos y que coloque sus configuraciones en los .localarchivos. Esto también facilita las actualizaciones, ya que ninguno de sus archivos locales se sobrescribe.
Chris S
Chris S: Gracias por ese consejo ... Intentaré hacer una nota mental :-)
Kyle Brandt
3
Cada vez que he implementado denyhosts o fail2ban en un entorno de producción, ha creado un flujo garantizado de solicitudes de desbloqueo, solicitudes de restablecimiento de contraseña, solicitudes para cambiar la configuración o administrar la lista blanca y, en general, solo las personas que dejan de iniciar sesión en investigue las cosas y apóyese más en los administradores de sistemas para obtener información sobre cosas que podrían hacer ellos mismos.
No es un problema técnico con ninguna herramienta en sí, pero si el número de usuarios es de docenas o más, será un aumento notable en la carga de trabajo de soporte y los usuarios frustrados.
Además, el problema que resuelven es que reducen el riesgo de ataques de inicio de sesión ssh de fuerza bruta. Honestamente, el riesgo de eso es increíblemente pequeño siempre que tenga incluso una política de contraseña moderadamente decente.
En el último servidor que puse en línea, tuve 30 mil solicitudes de inicio de sesión fallidas en mis registros ... ¡solo en tres días! Incluso con una buena política de contraseñas, solo por evitar esos grandes registros y todo ese ruido y riesgo es una buena herramienta. Yo uso denyhosts y hago un buen ajuste de los archivos de configuración y así ...
Andor
1
Puse el umbral en 10 inicios de sesión fallidos en 10 minutos (para SSH, IMAP, etc.) y nunca he tenido un usuario autorizado bloqueado. la configuración predeterminada es un poco estricta, y los usuarios los golpean de vez en cuando; los límites más altos generalmente solo atrapan intentos de fuerza bruta; que estoy de acuerdo es poco probable, pero también estoy de acuerdo con Andor en que ayuda con el tamaño del registro.
Chris S
oh no 10mb de espacio en disco desperdiciado
cagenut
2
Lo uso desde hace unos años y al menos es una buena protección contra los script kiddies.
Sin inicio de sesión raíz, además de contraseñas bastante largas y aleatorias y fail2ban y quizás un puerto diferente es para la mayoría de nosotros lo suficientemente seguro.
Por supuesto, las claves ssh son mucho mejores como seguridad.
He estado usando denyhosts en varios de mis servidores de producción y no producción, y funciona muy bien (tuve problemas con la sincronización de demonios, así que no lo uso ahora, pero tal vez esté funcionando bien nuevamente).
No solo hace que su sistema sea más seguro, sino que lo ayuda a mantener registros más limpios y a mantener a las personas no deseadas fuera de sus pantallas de inicio de sesión ...
Ejecuté Fail2Ban por un tiempo, y recientemente he visto intentos distribuidos de entrar en mi servidor SSH. Nunca tendrán éxito a la velocidad de su marcha, pero lo he estado vigilando.
Han pasado por un diccionario, cada IP lo intenta dos veces, después de que esos intentos fallan, otra IP hace lo mismo, etc. He considerado prohibir las IP que prueban nombres de usuario desconocidos x veces. Pero hasta ahora he recibido algunos miles de IP diferentes tratando de ingresar; y me preocupa que incluso si los bloqueo a todos, habrá más.
.conf
archivos y que coloque sus configuraciones en los.local
archivos. Esto también facilita las actualizaciones, ya que ninguno de sus archivos locales se sobrescribe.Cada vez que he implementado denyhosts o fail2ban en un entorno de producción, ha creado un flujo garantizado de solicitudes de desbloqueo, solicitudes de restablecimiento de contraseña, solicitudes para cambiar la configuración o administrar la lista blanca y, en general, solo las personas que dejan de iniciar sesión en investigue las cosas y apóyese más en los administradores de sistemas para obtener información sobre cosas que podrían hacer ellos mismos.
No es un problema técnico con ninguna herramienta en sí, pero si el número de usuarios es de docenas o más, será un aumento notable en la carga de trabajo de soporte y los usuarios frustrados.
Además, el problema que resuelven es que reducen el riesgo de ataques de inicio de sesión ssh de fuerza bruta. Honestamente, el riesgo de eso es increíblemente pequeño siempre que tenga incluso una política de contraseña moderadamente decente.
fuente
Lo uso desde hace unos años y al menos es una buena protección contra los script kiddies.
Sin inicio de sesión raíz, además de contraseñas bastante largas y aleatorias y fail2ban y quizás un puerto diferente es para la mayoría de nosotros lo suficientemente seguro.
Por supuesto, las claves ssh son mucho mejores como seguridad.
fuente
He estado usando denyhosts en varios de mis servidores de producción y no producción, y funciona muy bien (tuve problemas con la sincronización de demonios, así que no lo uso ahora, pero tal vez esté funcionando bien nuevamente).
No solo hace que su sistema sea más seguro, sino que lo ayuda a mantener registros más limpios y a mantener a las personas no deseadas fuera de sus pantallas de inicio de sesión ...
fuente
Ejecuté Fail2Ban por un tiempo, y recientemente he visto intentos distribuidos de entrar en mi servidor SSH. Nunca tendrán éxito a la velocidad de su marcha, pero lo he estado vigilando.
Han pasado por un diccionario, cada IP lo intenta dos veces, después de que esos intentos fallan, otra IP hace lo mismo, etc. He considerado prohibir las IP que prueban nombres de usuario desconocidos x veces. Pero hasta ahora he recibido algunos miles de IP diferentes tratando de ingresar; y me preocupa que incluso si los bloqueo a todos, habrá más.
fuente