मैं लिनक्स सर्वर सुरक्षा के बारे में समुदाय के मस्तिष्क को चुनना चाहता हूं, विशेष रूप से जानवर बल के हमलों के बारे में और कस्टम iptables बनाम विफलता 2ban का उपयोग करना ।
वहाँ कुछ इसी तरह के सवाल हैं, लेकिन उनमें से कोई भी विषय को मेरी संतुष्टि के लिए संबोधित नहीं करता है। संक्षेप में, मैं ब्रूट-फोर्स हमलों से इंटरनेट पर उजागर होने वाले लिनक्स सर्वर (सामान्य सेवाओं, ssh, वेब, मेल) को चलाने के लिए सबसे अच्छा समाधान निर्धारित करने का प्रयास कर रहा हूं।
मेरे पास सर्वर सुरक्षा पर एक सभ्य हैंडल है, यानी रूट या पासवर्ड लॉगिन की अनुमति न देकर ssh को लॉक करना, डिफ़ॉल्ट पोर्ट को बदलना, सॉफ्टवेयर सुनिश्चित करना, लॉग फाइलों की जांच करना, केवल कुछ मेजबानों को सर्वर तक पहुंचने और सुरक्षा का उपयोग करने की अनुमति देना सामान्य सुरक्षा अनुपालन के लिए लिनिस ( https://cisofy.com/lynis/ ) जैसे उपकरण का ऑडिट करना, इसलिए यह सवाल जरूरी नहीं है कि हालांकि इनपुट और सलाह का हमेशा स्वागत है ।
मेरा प्रश्न यह है कि मुझे कौन से समाधान का उपयोग करना चाहिए (असफल 2 आईएनबी या आईपैबल्स), और मुझे इसे कैसे कॉन्फ़िगर करना चाहिए, या क्या मुझे जानवर-बल के हमलों के खिलाफ सुरक्षित करने के लिए दोनों के संयोजन का उपयोग करना चाहिए?
विषय के बारे में एक दिलचस्प प्रतिक्रिया है ( Denyhosts बनाम fail2ban बनाम iptables- ब्रेट फोर्स लोगो को रोकने का सबसे अच्छा तरीका? )। मेरे लिए व्यक्तिगत रूप से सबसे दिलचस्प जवाब ( https://serverfault.com/a/128964 ) था, और कि कर्नेल में iptables रूटिंग विफल 2ban के विपरीत होती है जो लॉग फ़ाइलों को पार्स करने के लिए उपयोगकर्ता मोड टूल का उपयोग करता है। Fail2ban निश्चित रूप से iptables का उपयोग करता है, लेकिन इसे अभी भी लॉग फाइल को पार्स करना है और जब तक यह एक क्रिया नहीं करता है तब तक एक पैटर्न से मेल खाता है।
क्या यह समझ में आता है कि IPtables का उपयोग करें और एक अवधि के लिए IP से अनुरोध छोड़ने के लिए रेट-लिमिटिंग ( https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/ ) का उपयोग करें। उस समय के लिए जो किसी प्रोटोकॉल से जुड़ने का प्रयास कर रहा था, इसकी परवाह किए बिना एक विशिष्ट अवधि के दौरान कई कनेक्शन प्रयास करता है? यदि हां, तो यहाँ उन पैकेटों के लिए ड्रॉप बनाम रिजेक्ट का उपयोग करने के बारे में कुछ दिलचस्प विचार हैं ( http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject ), उस पर कोई विचार?
Fail2ban डिफ़ॉल्ट कॉन्फ़िगरेशन में संबोधित नहीं की जा सकने वाली सेवाओं के लिए कस्टम ' नियम ' लिखने में सक्षम होने के रूप में कस्टम कॉन्फ़िगरेशन के लिए अनुमति देता है। यह स्थापित करना आसान है और सेटअप और शक्तिशाली है, लेकिन क्या यह एक ओवरकिल हो सकता है अगर मैं जो कुछ हासिल करने की कोशिश कर रहा हूं वह सर्वर से एक आईपी को ' ब्लॉक ' करना है अगर वे किसी भी सेवा / प्रोटोकॉल पर 2 विफल एक्सेस प्रयास करते हैं एक एक्स राशि से अधिक समय की?
यहां लक्ष्य दैनिक लॉगवॉच रिपोर्ट को खोलना है और सर्वर से जुड़े असफल कनेक्शन के पृष्ठों को स्क्रॉल करना नहीं है।
समय लेने के लिए शुक्रिया।