Fail2ban
蠻力攻擊的最佳禁令持續時間是多少?
我使用 fail2ban 來防止對我的生產伺服器的暴力攻擊。Fail2ban 在 5 次身份驗證失敗後禁止一個 ip,並在 1 小時後使用我自己的配置取消禁止它。我想知道最佳禁令持續時間是多少,還是我真的需要再次取消禁令?永久禁止ip是最好的解決方案嗎?
禁令的最佳時間沒有一般規則,這取決於很多因素,包括
- 伺服器/服務的類型
- 目標受眾
- 攻擊類型
- 以及特定的攻擊者/攻擊者。
當然,這對於決定您是否需要解除禁令也是正確的——如果很少有 IP 地址可以合法地連接到您的服務,則永久禁止攻擊者(半)可能不是一個壞主意,但在其他情況下,這將創建更多問題多於做好事。
編輯關於您的評論:
對 root 帳戶最重要的保護是
- 不允許以 root 訪問開頭
- 僅將基於密鑰的登錄用於其他用途,並且不允許使用密碼。
這也有助於保護您免受您今天可以看到的分佈式暴力攻擊,在這種攻擊中,您會受到大量殭屍網路機器的緩慢攻擊,每台機器只嘗試很少的密碼,因此不會觸發類似
fail2ban
at全部。第二次編輯,關於第二條評論:
我們顯然處於“視情況而定”的領域。我的環境中的一個例子:
- 機器 1 有使用者從外部網路登錄。我無法禁用密碼登錄(由於原因:()。禁止時間設置為 10 分鐘。
- 機器 2 只有管理員從極少數、緩慢變化的 IP 登錄。禁令時間設置為 24 小時。
問題是 24 小時禁令的效果只是稍微好一點,如果有的話(*),但是由於限制基於非 root 密鑰的登錄,機器 2 得到了更好的保護。
(*) 這是我的印象,並非基於對日誌文件的任何實際統計分析。