Percebi que enquanto estava criando minha instância da AWS, optei por apenas meu endereço IP acessar meu servidor. Também há uma chave RSA configurada para você. Neste caso eu realmente preciso do fail2ban instalado no servidor?
AskOverflow.Dev
Percebi que enquanto estava criando minha instância da AWS, optei por apenas meu endereço IP acessar meu servidor. Também há uma chave RSA configurada para você. Neste caso eu realmente preciso do fail2ban instalado no servidor?
Todas as respostas dizendo que o fail2ban é desnecessário por causa das políticas de segurança da AWS, efetivamente outro firewall. No entanto, se isso falhar ou for mal configurado, os ataques podem ocorrer. Uma combinação de iptables/firewalld/ufw e fail2ban faz todo o sentido, e a segurança em camadas é uma tática importante. Portanto, o fail2ban (junto com a configuração básica do firewall) ainda é uma boa ideia.
Quero acrescentar, como @tim mencionou, que o fail2ban (e outros tipos de ferramentas semelhantes) pode fornecer mais granularidade do que as políticas de segurança da AWS, que parecem estar limitadas a protocolos e intervalos de endereços IP. Por exemplo, aranhas agressivas podem ser bloqueadas, assim como bots que tentam fazer login. O bloqueio na camada de rede é mais eficiente do que o servidor da web ou a camada de aplicativo da web (por exemplo, Wordpress).
Nesse caso, eu diria que o fail2ban não seria necessário.
Eu realmente só usaria fail2ban quando você tivesse que expor um serviço de gerenciamento à Internet no firewall do hipervisor (aws). No seu caso, todas as solicitações, exceto as do seu IP, estão sendo descartadas.
Uma coisa a observar, se o seu endereço IP mudar (não estático), você terá que atualizar o grupo de segurança aws.
O Fail2ban verifica os arquivos de log em busca de ações potencialmente maliciosas e bane os endereços IP dos quais esse comportamento se origina. Geralmente, o Fail2Ban é usado para iniciar uma ação que impedirá que as ações subsequentes (maliciosas) desse endereço IP sejam recorrentes.
Para evitar ser bloqueado como administrador, você normalmente adicionaria seus próprios endereços de rede (gerenciamento) a uma lista de permissões de IP em fail2ban.
Agora, se o seu servidor ou serviço foi protegido por firewall para permitir apenas o acesso dos mesmos endereços IP e/ou redes presentes nessa lista de permissões, o fail2ban nunca fará nada, certo?
A vantagem de usar o firewall AWS da Fail2ban é a API. Com a ajuda da API, você pode gerenciar de forma centralizada e automática suas regras de firewall em um grande número de instâncias, com fail2ban isso tornará muito mais difícil.
A única razão pela qual eu adicionaria fail2ban no seu caso seria DROP crianças tentando se conectar no servidor indefinidamente e limitar as respostas que ele serve para nada (no caso de seu servidor gerar respostas REJECT para aqueles que tentam se conectar).
Agora, você pode ter um bom motivo para colocar IPs na lista de permissões, mas no SSH é bastante seguro, desde que você mantenha sua chave privada (e desabilitar o login root é melhor). Além disso, é muito fácil configurar a autenticação de 2 fatores no ssh (por exemplo, usando o Google 2FA), usando sua senha e um número gerado 'aleatório'. Colocar um IP na lista de permissões para ssh pode se tornar impraticável em algum momento!