设置 fail2ban 以忽略动态 IP 后面的连接

设置 fail2ban 以忽略动态 IP 后面的连接

用于fail2ban保护 Ubuntu 12.04 x64 服务器在 DigitalOcean 上,编辑时/etc/fail2ban/jail.local出现以下部分:

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8

这是管理员将要连接的 IP,但如果管理员拥有动态 IP,有什么解决方案吗?
或者这根本就违背了目的?

答案1

如果管理员要从动态 IP 进行连接,我可以想到 3 种不同的选择:

  1. 如果已知这些动态 IP 的范围并且足够小,则添加它。
  2. 让您的管理员设置指向其当前 IP 的动态 DNS 主机名,并将这些主机名添加到此忽略列表中。
  3. 确保您的管理员不会笨手笨脚,并且可以正确输入他们的密码。:) 或者更好的是设置私人/公共 ssh 密钥。

答案2

您最多可以将管理员所在的 IP 范围列入白名单,但这样您就容易受到来自该范围的攻击。这仍然有帮助(大多数暴力攻击来自其他国家/ISP),但并不理想。

如果仅在输入错误 5 次后才禁止登录,这真的有问题吗?您的管理员多久会将自己锁定?如果他们记不住密码,您是否可以查看 SSH 密钥?

答案3

Fail2ban 是一个入侵防御软件框架,可保护计算机服务器免受暴力攻击。 - 维基百科

ignoreip 选项不适用于管理员连接,应谨慎使用。例如,在私有网络中,您与其他用户位于不同的 VLAN,但即使如此,也不应该考虑它(如果攻击者在您的 VLAN 中怎么办?)。

如果您知道服务器的密码,那么您就不会禁止自己,但如果您失败 3 次(或配置的 maxretry),请稍后再试(bantime 秒)。

我强烈建议使用 SSH 密钥,因为它更安全。并测试您的配置,以了解它是否运行良好,尝试无效用户、无效密码等(是的,这意味着禁止自己)。

相关内容