efe*_*aid 5 brute-force-attacks fail2ban
我使用 fail2ban 来防止对我的生产服务器的暴力攻击。Fail2ban 在 5 次身份验证失败后禁止一个 ip,并在 1 小时后使用我自己的配置取消禁止。我想知道最佳禁令持续时间是多少,还是我真的需要再次取消禁令?永久禁止 ip 是最好的解决方案吗?
禁止的最佳时间没有一般规则,它取决于很多因素,包括
这当然也适用于决定您是否需要解除禁令 - 如果很少有 IP 地址可以合法地连接到您的服务,永久禁止攻击者(半)可能不是一个坏主意,但在其他情况下,这将创造更多问题多于做好。
编辑关于您的评论:
对 root 帐户最重要的保护是
这也有助于保护您免受当今蛮力攻击的分布类型,你可以看到你被僵尸网络机器的大量每台机器试图只有极少数的密码,因此不会引发这样的东西会慢慢遭到腐蚀fail2ban的全部。
第二次编辑,关于第二条评论:
我们显然处于“视情况而定”的领域。我的环境中的一个例子:
问题是 24 小时禁令的效果只是稍微好一点,如果有的话 (*),但是由于对基于非 root 密钥的登录的限制,机器 2 得到了更好的保护。
(*) 这是我的印象,并非建立在任何真正的日志文件统计分析中。
| 归档时间: |
|
| 查看次数: |
924 次 |
| 最近记录: |