Fail2ban

蠻力攻擊的最佳禁令持續時間是多少?

  • July 21, 2014

我使用 fail2ban 來防止對我的生產伺服器的暴力攻擊。Fail2ban 在 5 次身份驗證失敗後禁止一個 ip,並在 1 小時後使用我自己的配置取消禁止它。我想知道最佳禁令持續時間是多少,還是我真的需要再次取消禁令?永久禁止ip是最好的解決方案嗎?

禁令的最佳時間沒有一般規則,這取決於很多因素,包括

  • 伺服器/服務的類型
  • 目標受眾
  • 攻擊類型
  • 以及特定的攻擊者/攻擊者。

當然,這對於決定您是否需要解除禁令也是正確的——如果很少有 IP 地址可以合法地連接到您的服務,則永久禁止攻擊者(半)可能不是一個壞主意,但在其他情況下,這將創建更多問題多於做好事。

編輯關於您的評論:

對 root 帳戶最重要的保護是

  • 不允許以 root 訪問開頭
  • 僅將基於密鑰的登錄用於其他用途,並且不允許使用密碼。

這也有助於保護您免受您今天可以看到的分佈式暴力攻擊,在這種攻擊中,您會受到大量殭屍網路機器的緩慢攻擊,每台機器只嘗試很少的密碼,因此不會觸發類似fail2banat全部。

第二次編輯,關於第二條評論:

我們顯然處於“視情況而定”的領域。我的環境中的一個例子:

  • 機器 1 有使用者從外部網路登錄。我無法禁用密碼登錄(由於原因:()。禁止時間設置為 10 分鐘。
  • 機器 2 只有管理員從極少數、緩慢變化的 IP 登錄。禁令時間設置為 24 小時。

問題是 24 小時禁令的效果只是稍微好一點,如果有的話(*),但是由於限制基於非 root 密鑰的登錄,機器 2 得到了更好的保護。

(*) 這是我的印象,並非基於對日誌文件的任何實際統計分析。

引用自:https://serverfault.com/questions/614140