Estou em dúvida se devo usar a autenticação de chave ao fazer login no SSH ou simplesmente optar por fail2ban + ssh (login root desativado).
O fail2ban é seguro ou é realmente melhor ir em frente e gerar chaves e configurações que em todas as minhas máquinas clientes que precisam se conectar ao ssh?
Respostas:
Eu o considero um produto estável e o considero seguro. Como precaução extra, eu adicionaria seu endereço IP de origem à ignoreipdiretiva no jails.confpara garantir que você não se bloqueie.
Como ele analisa os logs ssh, uma sessão TCP terá que ser estabelecida para falsificar os IPs de origem e obter os números de seqüências TCP corretos para criar uma espécie de variação de retroespalhamento parece improvável.
Usar teclas em cima disso também não é uma má idéia. Outras opções que ajudam a mover o ssh para um IP fora do padrão, usando o módulo iptables "recente" ou apenas decidindo que você não se importa se as pessoas tentam usar senhas de força bruta. Veja esta publicação de falha no servidor para obter mais informações.
Toda vez que eu implementei denyhosts ou fail2ban em um ambiente de produção, ele criou um fluxo de tickets garantido de solicitações de desbloqueio, solicitações de redefinição de senha, solicitações para alterar as configurações ou gerenciar a lista de permissões, e geralmente apenas as pessoas que desistem de fazer login no investigar as coisas e se apoiar mais nos administradores de sistemas por coisas que eles mesmos poderiam fazer.
Não é um problema técnico com nenhuma das ferramentas em si, mas se o número de usuários chegar a dezenas ou mais, será um aumento notável na carga de trabalho de suporte e usuários frustrados.
Além disso, o problema que eles resolvem é que reduzem o risco de ataques de login ssh de força bruta. Honestamente, o risco disso é incrivelmente pequeno, desde que você tenha uma política de senha moderadamente decente.
Eu tenho usado denyhosts em vários dos meus servidores de produção e não produção, e funciona muito bem (tive problemas com a sincronização de daemon, então não a uso agora, mas talvez esteja funcionando novamente).
Não apenas torna seu sistema mais seguro, mas também ajuda a manter registros mais limpos e simplesmente afastar pessoas indesejadas das telas de login ...
Executei o Fail2Ban por um tempo agora e, recentemente, vi tentativas distribuídas de invadir meu servidor SSH. Eles nunca serão bem-sucedidos no ritmo em que estão indo, mas eu estou de olho nisso.
Eles estão passando por um dicionário, cada IP tenta duas vezes, depois que essas tentativas falham, outro IP faz o mesmo etc. Pensei em proibir IPs que tentam nomes de usuário desconhecidos x vezes. Mas até agora consegui alguns milhares de IPs diferentes tentando entrar; e estou preocupado que, mesmo que eu os bloqueie, ainda haverá mais.
.confarquivos e, em vez disso, colocar suas configurações nos.localarquivos. Isso também facilita muito as atualizações, pois nenhum dos seus arquivos locais é substituído.