나는 Fail2ban 및 Firewalld를 설치하는 방법을 보여주는 많은 게시물을 보았고 내 설정에 실제로 Fail2ban이 필요한지 궁금했습니다.
내 설정은 다음과 같습니다
- VPS의 Cent OS 8
- 공공을 위한 지적재산권
- Firewalld가 활성화되어 있으며 다음을 제외한 모든 항목을 차단합니다.
- 포트 80/443은 외부 세계에 열려 있습니다.
- 포트 22는 3개의 IP 주소에만 열려 있습니다.
- 원격 루트 SSH는 허용되지 않습니다.
- 비밀번호 SSH를 허용하지 않음 - SSH 키를 사용한 로그인만 허용
이 설정을 사용하면 Fail2ban이 필요합니까? 그렇다면 어떤 목적으로 해결됩니까? Fail2ban을 사용하지 않으면 CPU 비용에 대한 정보가 있다는 스레드를 찾았습니다. pass2ban은 비밀번호 로그인이 꺼진 경우 SSH에 대한 추가 보호 기능을 제공합니까?
이것이 내 설정의 모습입니까? 다른 로그 모니터링 및 경고에는 Fail2ban이 유용하다는 점을 이해하지만 SSH의 경우에는 낭비입니다.
답변1
fail2ban논리는 매우 간단합니다. 동일한 IP에서 일정 횟수의 SSH 로그인 시도가 실패하면 해당 IP가 일시적으로 차단됩니다.
포트 22를 3개의 IP 주소에만 노출했기 때문에 침입자가 SSH에 액세스하는 것을 차단했습니다. 다른 예방 조치(루트 없음, 비밀번호 없음)도 좋습니다. 이러한 기존 예방 조치를 바탕으로 Fail2ban에 대해 걱정하지 않을 것입니다.
ssh보다 Fail2ban이 더 유용하다고 주장할 수도 있지만 포트 80/443만 노출되므로 사례를 생각하기가 어렵습니다.
마지막으로, 당신은답변 링크여기에는 두 가지 다른 이점이 있습니다.
- 인증 로그가 가득 차는 것을 방지
- 무차별 대입 시도를 처리할 때 불필요한 CPU 주기를 줄입니다.
나는 이것이 당신에게 좋지 않다고 생각합니다. 포트 22를 3개의 IP 주소로 제한하므로 임의의 IP 주소로부터의 시도는 수신되지 않습니다. Fail2ban이 무엇이든 할 수 있는 유일한 방법은 세 개의 IP 주소 중 하나가 사용자에게 무차별 공격을 시작하는 경우입니다. 루트를 비활성화하고 비밀번호를 비활성화했기 때문에 무차별 대입 공격은 성공할 가능성이 없습니다. 따라서 해당 특정 IP 주소는 금지될 것입니다. 이는 귀하의 최종 후보 목록에 있고 귀하의 운영에 필요할 수 있으므로 귀하에게 더 큰 문제라고 생각합니다.
답변2
Fail2ban은 결코 "필수"는 아니지만 유용할 수 있습니다.
SSH가 몇 개의 IPS를 통해서만 액세스할 수 있고 일반적으로 이 IPS에 대한 액세스 권한이 있는 사용자를 신뢰하는 경우, SSH를 보호하는 데 실패2반은 거의 쓸모가 없습니다. 실제로 누군가 로그인하는 데 문제가 있는데 갑자기 사무실 전체가 잠겨 있으면 고통스러울 수 있습니다.
그러나 fall2ban은 단순한 SSH 보호 그 이상입니다. 구성하기는 매우 복잡하지만 모든 로그를 모니터링하도록 구성할 수 있습니다. 이는 웹 애플리케이션(포트 80 및 443)도 모니터링할 수 있음을 의미합니다. 어떤 사람들은 더 잘 알고 있습니다. WordPress와 같은 웹 애플리케이션은 봇으로부터 원치 않는 해커를 많이 유인합니다. Fail2ban은 이러한 메커니즘을 금지하는 좋은 메커니즘이기도 합니다.
따라서 귀하의 경우에는 failed2ban이 SSH를 보호하는 데 많이 사용되지 않을 것이라고 생각합니다. 그러나 귀하의 웹 애플리케이션에 어떤 보호를 제공할지 고려하십시오.