क्या फेल 2बन सुरक्षित है? Ssh कुंजी का उपयोग करने के लिए बेहतर है?

मुझे संदेह है कि अगर मुझे SSH में लॉग इन करते समय कुंजी प्रमाणीकरण का उपयोग करना चाहिए, या बस fail2ban + ssh (रूट लॉगिन अक्षम) के लिए जाना चाहिए।

क्या फेल 2 एबॉन सुरक्षित है या क्या वास्तव में बेहतर है कि आप आगे बढ़ें और चाबियां बनाएं और कॉन्फ़िगर करें कि मेरे सभी क्लाइंट मशीनों को ssh से कनेक्ट करने की आवश्यकता है?

मैं इसे एक स्थिर उत्पाद के रूप में आंकता हूं और मैं इसे सुरक्षित मानता हूं। एक अतिरिक्त सावधानी के तौर पर मैं आपके स्रोत आईपी पते को ignoreipनिर्देश में जोड़ दूंगा jails.confताकि आप खुद को ब्लॉक न कर सकें।

चूंकि यह ssh लॉग्स को पार्स करता है एक टीसीपी सत्र स्थापित किया जा रहा है ताकि स्पूफिंग स्रोत आईपी स्थापित हो सके और एक तरह का बैकस्कैटर वेरिएशन बनाने के लिए टीसीपी सीक्वेंस नंबर प्राप्त करने की संभावना कम लगती है।

इसके शीर्ष पर कुंजियों का उपयोग करना एक बुरा विचार नहीं है। अन्य विकल्प जो "हाल ही में" iptables मॉड्यूल का उपयोग करते हुए, एक गैरमानक आईपी में ssh को स्थानांतरित करने में मदद कर रहे हैं, या केवल यह निर्णय लेने से आपको परवाह नहीं है कि लोग बल पासवर्डों को भंग करने की कोशिश करते हैं। इन पर अधिक के लिए यह सर्वरफॉल्ट पोस्ट देखें ।

हर बार जब मैंने उत्पादन वातावरण में डेनिहोस्ट या फेल 2 एबन लागू किया है, तो उसने अनलॉक अनुरोधों, पासवर्ड रीसेट अनुरोधों, सेटिंग्स को बदलने या श्वेतसूची को प्रबंधित करने के अनुरोध की गारंटी टिकट-स्ट्रीम बनाई है, और आमतौर पर सिर्फ लॉग इन करने वाले लोगों को छोड़ दिया जाता है। चीजों में देखो और सामान वे खुद कर सकते हैं के लिए sysadmins पर अधिक दुबला।

इसकी टूल-से-टूल के साथ कोई तकनीकी समस्या नहीं है, लेकिन यदि आपके उपयोगकर्ता दर्जनों या अधिक संख्या में हैं, तो यह सपोर्ट वर्कलोड और निराश उपयोगकर्ताओं में ध्यान देने योग्य है।

इसके अलावा, वे जिस समस्या का समाधान करते हैं, वह है कि वे आपके बल को कम करके ssh के लॉगिन हमलों को कम करती हैं। ईमानदारी से, इसका जोखिम अविश्वसनीय रूप से छोटा है जब तक आपके पास एक मामूली सभ्य पासवर्ड नीति है।

मैं कुछ वर्षों से उपयोग करता हूं और कम से कम स्क्रिप्ट किडिज़ के खिलाफ एक अच्छा संरक्षण है।
कोई रूट लॉगऑन, प्लस बहुत लंबा और यादृच्छिक पासवर्ड और फेल 2बन और शायद अलग पोर्ट हम में से अधिकांश के लिए पर्याप्त सुरक्षित है।
बेशक ssh चाबियाँ सुरक्षा के रूप में बहुत बेहतर हैं।

मैं अपने कई उत्पादन और गैर-उत्पादन सर्वरों में डेनिहोस्ट का उपयोग कर रहा हूं, और यह वास्तविक ठीक काम करता है (मुझे डेमन सिंक के साथ समस्या थी, इसलिए मैं अब इसका उपयोग नहीं करता, लेकिन शायद यह फिर से ठीक काम कर रहा है)।

न केवल आपके सिस्टम को सुरक्षित बनाता है, बल्कि यह आपको क्लीनर लॉग रखने में मदद करता है और बस अवांछित लोगों को आपके लॉगिन स्क्रीन से बाहर रखता है ...

मैंने अभी थोड़ी देर के लिए Fail2Ban चलाया है, और अभी हाल ही में मैंने अपने SSH सर्वर को तोड़ने के प्रयास वितरित किए हैं। वे कभी भी उनके जाने की दर पर सफल नहीं होंगे, लेकिन मैं इस पर नजर बनाए हुए हूं।

वे एक शब्दकोश के माध्यम से जा रहे हैं, प्रत्येक आईपी दो बार कोशिश करता है, उन प्रयासों के बाद एक और आईपी एक ही विफल रहता है, आदि मैंने आईपी पर प्रतिबंध लगाने पर विचार किया है जो अज्ञात उपयोगकर्ता नाम x का प्रयास करते हैं। लेकिन अब तक मैंने कुछ हज़ार अलग-अलग आईपी प्राप्त करने की कोशिश की है; और मुझे चिंता है कि भले ही मैं उन सभी को अवरुद्ध कर दूं लेकिन फिर भी कुछ और होगा।