那些遇到过的问题

设置 fail2ban 以忽略动态 IP 后面的连接

Mar*_*tuc 2 fail2ban ubuntu-12.04

使用fail2ban,以确保一个Ubuntu 12.04 X64服务器上DigitalOcean,而编辑/etc/fail2ban/jail.local有这一部分:

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
Run Code Online (Sandbox Code Playgroud)

那是管理员将连接的 IP,但是如果管理员有动态 IP,有什么解决方案吗?
或者这只是违背了目的?

rbs*_*sec 5

您最多可以将管理员所在的 IP 范围列入白名单,但随后您很容易受到来自该范围的攻击。它仍然有帮助(大多数蛮力来自其他国家/地区/ISP),但并不理想。

如果说5次错误尝试后才禁止,真的有问题吗?您的管理员多久将自己锁定?如果他们不记得密码,您可以查看 SSH 密钥吗?

Mxx*_*Mxx 5

如果管理员将从动态 IP 连接,我可以想到 3 个不同的选项:

  1. 如果这些动态 IP 的范围已知且足够小,请添加它。
  2. 让您的管理员设置指向其当前 IP 的动态 DNS 主机名,并将这些主机名添加到此忽略列表中。
  3. 确保您的管理员没有笨手笨脚的人,并且可以正确输入他们的密码。:) 或者更好的是设置私有/公共 ssh 密钥。

归档时间:

查看次数:

2169 次

最近记录:

10 年,7 月 前
相关归档
修改 fail2ban failregex 以通过 ssh 匹配失败的公钥认证 14
你如何命名一个 docker 容器? 10
让 AWStats 在 Ubuntu 12.04 中工作 8
Ubuntu 12.04 主机查找速度极慢 6
适用于 Windows 2008 RDP 的 fail2ban 6
使用了哪个 Nginx 和哪个配置文件 6
fail2ban 和 snort 有什么区别? 2
尽管 CPU 使用率低,但服务器负载非常高 1
zfs 在一个池中混合突袭级别 0
Openssl 和服务器升级未修复 Heartbleed -1
难疑归档
我可以自动向 known_hosts 添加新主机吗? 298
VirtualBox:如何设置网络以便主机和访客都可以访问互联网并相互交谈 169
命令行列出 Windows Active Directory 组中的用户? 147
为什么不能在域的顶点(又名根)使用 CNAME 记录? 138
记录管理员在生产服务器上运行的所有命令 80
logrotating 目录及其子目录中的文件 76
如何更改 AWS EC2 安全组的名称和描述? 67
为什么 htop 有三个平均负载? 63
NMAP:检查端口 80 和 8080 是否打开 63
关机:“关机”和“暂停”有什么区别? 57