fail2ban 與 PermitRootLogin 沒有密碼?
我試圖選擇一個涵蓋該主題的標題:
如果我
PermitRootLogin
設置為 ,為什麼要使用 fail2ban(或類似程序)without-password
?我知道一位非常值得信賴和經驗豐富的系統管理員建議我也安裝 fail2ban,因為它們可以保護我的自定義伺服器免受暴力攻擊,因為它們會消耗資源(而且我的可用資源數量有限)。
另一個我知道的非常值得信賴和經驗豐富的系統管理員建議我不要安裝 fail2ban,因為我已經禁用了密碼身份驗證,因此沒有必要阻止暴力破解,因為沒有任何密碼可以使用。
我真的很困惑。
謝謝大家給我的任何幫助。
好吧,我個人不喜歡
PermitRootLogin
設置任何東西,但是no
(如果有人破壞了您的 SSH 密鑰,這可能是在不安全的機器上?最好強迫人們使用 SSH 密鑰登錄到普通使用者帳戶,然後使用密碼sudo
或su
root恕我直言)。但從廣義上講,Fail2Ban
PermitRootLogin without-password
旨在防禦不同的威脅。Fail2Ban 保護您免受暴力攻擊:有人試圖猜測您的(普通使用者)密碼,或者有人“獲取”了一堆 SSH 密鑰,試圖查看是否有任何工作可以進入您的系統——它將在一定次數的嘗試後鎖定攻擊者,並提醒您注意問題,以便您採取適當的措施。
Fail2Ban 還可以保護除 SSH 之外的其他服務(如果您說 FTP 伺服器,這很重要)。
PermitRootLogin without-password
防止有人猜測 SSH 訪問的 root 密碼(它完全防止密碼猜測暴力攻擊,因為即使他們猜對了密碼仍然無法工作)。它不保護主機上的任何其他服務,也不保護您免受他人獲取有效 SSH 密鑰的侵害(因此,您受制於所有擁有您的 root 帳戶有效密鑰的使用者,以及他們的安全性筆記型電腦/手機/等)。