我尝试选择一个涵盖该主题的标题:
PermitRootLogin如果我已经设置了,为什么还要使用 fail2ban (或类似程序) without-password?
我认识的一位非常值得信赖和经验丰富的系统管理员建议我也安装 fail2ban,因为它可以保护我的自定义服务器免受暴力攻击,因为它们会消耗资源(而我可用的资源有限)。
我知道的另一位非常值得信赖和经验丰富的系统管理员建议我不要安装 fail2ban,因为我已经禁用了密码验证,因此阻止暴力破解毫无意义,因为没有任何密码可以起作用。
我真的很困惑。
谢谢大家给予我的帮助。
答案1
嗯,我个人并不喜欢PermitRootLogin被设置为任何东西,但是no(如果有人泄露了你的 SSH 密钥,而该密钥可能位于一台不安全的机器上,那该怎么办?在我看来,最好强制人们使用 SSH 密钥登录普通用户帐户,然后使用密码sudo或suroot 权限)。
从广义上讲,Fail2Ban 旨在PermitRootLogin without-password防御不同的威胁。
Fail2Ban 可保护您免受暴力攻击:有人试图猜测您的(普通用户)密码,或者有人“获得”了一堆 SSH 密钥,尝试所有密钥以查看是否有办法进入您的系统 - 它会在一定次数的尝试后锁定攻击者,并提醒您注意问题,以便您采取适当的措施。Fail2Ban
还可以保护除 SSH 之外的其他服务(如果您有 FTP 服务器,这一点很重要)。
PermitRootLogin without-password防止有人猜测 SSH 访问的 root 密码(它可以完全防止密码猜测暴力攻击,因为即使他们猜对了密码仍然不起作用)。
它不保护主机上的任何其他服务,也不能保护您免受他人获取有效 SSH 密钥的侵害(因此,您只能依靠拥有您 root 帐户有效密钥的所有用户,以及他们的笔记本电脑/手机/等的安全)。