Я хотів би вибрати мозку спільноти щодо безпеки сервера Linux, зокрема стосовно жорстоких атак та використання fail2ban vs користувальницьких iptables .
Є кілька подібних питань, але жодне з них не задовольняє цю тему на мій задоволення. Коротше кажучи, я намагаюся визначити найкраще рішення для захисту серверів Linux, що піддаються впливу Інтернету (запуск звичайних сервісів, ssh, web, пошти), від грубої атаки.
Я маю гідну ручку щодо безпеки сервера, тобто блокування ssh, не дозволяючи входити в систему root або пароль, змінюючи порт за замовчуванням, забезпечуючи оновлення програмного забезпечення, перевіряючи файли журналів, дозволяючи лише певним хостам отримувати доступ до сервера та використовувати безпеку такі інструменти аудиту, як Lynis ( https://cisofy.com/lynis/ ), для загальної відповідності безпеці, тому це питання не обов'язково стосується цього питання, хоча введення та поради завжди вітаються .
Моє запитання полягає в тому, яке рішення я повинен використовувати (fail2ban або iptables), і як я можу його налаштувати, або я повинен використовувати комбінацію обох для захисту від жорстоких атак?
Є цікава відповідь на цю тему ( Denyhosts vs fail2ban vs iptables - найкращий спосіб запобігти логотипу грубої сили? ). Найцікавішою для мене особисто була відповідь ( https://serverfault.com/a/128964 ), і маршрутизація iptables відбувається в ядрі на відміну від fail2ban, який використовує інструменти користувальницького режиму для розбору файлів журналів. Fail2ban звичайно використовує iptables, але він все ще повинен розібрати файли журналів і відповідати шаблону, поки він не виконає дію.
Чи має сенс потім використовувати iptables та використовувати обмежуючі ставки ( https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/ ) для відкидання запитів з IP на період часу, який робить занадто багато спроб з'єднання протягом певного періоду незалежно від того, до якого протоколу він намагався підключитися? Якщо так, то тут є цікаві думки щодо використання drop vs reject для цих пакетів тут ( http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject ), якісь думки з цього приводу?
Fail2ban дозволяє налаштувати власну конфігурацію у вигляді можливості писати власні " правила " для служб, які не можуть бути адресовані в конфігурації за замовчуванням. Встановити та налаштувати його досить просто і є потужним, але чи може це бути зайвим, якщо все, що я намагаюся досягти, - це « заблокувати » IP з сервера, якщо вони роблять 2 невдалі спроби доступу до будь-якої служби / протоколу понад x кількість часу?
Мета полягає в тому, щоб відкривати щоденні звіти про перегляд журналу, а не прокручувати сторінки спроб невдалого з'єднання з сервером.
Дякуємо, що знайшли час.