Tengo dudas sobre si debo usar la autenticación de clave al iniciar sesión en SSH, o simplemente elegir fail2ban + ssh (inicio de sesión raíz deshabilitado).
¿Es seguro fail2ban o es realmente mejor seguir adelante y generar claves y configurarlas en todas mis máquinas cliente que necesitan conectarse a ssh?
Respuestas:
Lo juzgo como un producto estable y lo considero seguro. Como precaución adicional, agregaría su dirección IP de origen a la ignoreipdirectiva jails.confpara asegurarme de que no se bloquee.
Dado que analiza los registros ssh, será necesario establecer una sesión TCP, por lo que es poco probable que se falsifiquen las direcciones IP de origen y se obtengan los números de secuencias TCP correctos para crear una especie de variación de retrodispersión.
Usar teclas encima de esto también no es una mala idea. Otras opciones que ayudan son mover ssh a una IP no estándar, usar el módulo iptables "reciente" o simplemente decidir que no le importa si las personas intentan forzar contraseñas de fuerza bruta. Consulte esta publicación predeterminada del servidor para obtener más información al respecto.
Cada vez que he implementado denyhosts o fail2ban en un entorno de producción, ha creado un flujo garantizado de solicitudes de desbloqueo, solicitudes de restablecimiento de contraseña, solicitudes para cambiar la configuración o administrar la lista blanca y, en general, solo las personas que dejan de iniciar sesión en investigue las cosas y apóyese más en los administradores de sistemas para obtener información sobre cosas que podrían hacer ellos mismos.
No es un problema técnico con ninguna herramienta en sí, pero si el número de usuarios es de docenas o más, será un aumento notable en la carga de trabajo de soporte y los usuarios frustrados.
Además, el problema que resuelven es que reducen el riesgo de ataques de inicio de sesión ssh de fuerza bruta. Honestamente, el riesgo de eso es increíblemente pequeño siempre que tenga incluso una política de contraseña moderadamente decente.
Lo uso desde hace unos años y al menos es una buena protección contra los script kiddies.
Sin inicio de sesión raíz, además de contraseñas bastante largas y aleatorias y fail2ban y quizás un puerto diferente es para la mayoría de nosotros lo suficientemente seguro.
Por supuesto, las claves ssh son mucho mejores como seguridad.
He estado usando denyhosts en varios de mis servidores de producción y no producción, y funciona muy bien (tuve problemas con la sincronización de demonios, así que no lo uso ahora, pero tal vez esté funcionando bien nuevamente).
No solo hace que su sistema sea más seguro, sino que lo ayuda a mantener registros más limpios y a mantener a las personas no deseadas fuera de sus pantallas de inicio de sesión ...
Ejecuté Fail2Ban por un tiempo, y recientemente he visto intentos distribuidos de entrar en mi servidor SSH. Nunca tendrán éxito a la velocidad de su marcha, pero lo he estado vigilando.
Han pasado por un diccionario, cada IP lo intenta dos veces, después de que esos intentos fallan, otra IP hace lo mismo, etc. He considerado prohibir las IP que prueban nombres de usuario desconocidos x veces. Pero hasta ahora he recibido algunos miles de IP diferentes tratando de ingresar; y me preocupa que incluso si los bloqueo a todos, habrá más.
.confarchivos y que coloque sus configuraciones en los.localarchivos. Esto también facilita las actualizaciones, ya que ninguno de sus archivos locales se sobrescribe.