我对高级策略防火墙 (APF) 和 Fail2Ban 进行了大量研究。我的 VPS 遭受了 SSH 暴力攻击。我倾向于使用 APF,只允许我的几个 IP 通过。但是,我希望能够方便地使用我想要的任何 iP - 这可以通过 Fail2Ban 实现。
由于 Fail2Ban 会扫描日志并写入 IP 表,有谁知道哪一个更有利于安全性和 VPS 性能以节省资源?我知道它们可以一起工作,但我想选择一个。
答案1
这两种防火墙都是业内最好的,在选择最好的防火墙时,要基于个人和环境的要求。
我更喜欢 Fail2ban 而不是 APF,
默认情况下,fail2ban 配置为与 iptables 配合使用
Fail2ban 为 iptables 添加了一个链。
我们可以灵活地(您可以编写自己的警报和过滤器)配置 fail2ban 以执行许多不同的操作,这使它能够与 iptables、shorewall 等一起工作。
对于大多数用户来说,该服务本身非常简单,因为大多数困难的配置都已为您处理好了。
配置文件看起来更加有条理,并且本质上似乎允许更多的灵活性
但是,当您偏离标准配置时,了解 fail2ban 如何运行以便以可预测的方式操纵其行为会很有帮助。
指定任何日志文件的路径(apache、ssh、nginx、邮件服务器等)。
指定攻击模式的正则表达式(例如,6 秒内同一 ip 在 nginx 访问日志中出现超过 10 次“404 错误”)
指定正则表达式来忽略某些模式(非常有用!)
指定禁令时间
发送电子邮件(或任何其他警报...)
注意:请花时间研究最适合您环境的内容,因为所有更新都将基于我们环境的曝光和定制。