用于保护DigitalOcean上fail2ban的 Ubuntu 12.04 x64 服务器,同时编辑这部分:/etc/fail2ban/jail.local
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
那是管理员将从中连接的 IP,但如果管理员有动态 IP,是否有任何解决方案?
还是这只会破坏目的?
AskOverflow.Dev
您最多可以将管理员所在的 IP 范围列入白名单,但您很容易受到来自该范围的攻击。它仍然有帮助(大多数蛮力来自其他国家/ ISP),但并不理想。
如果它只在说 5 次错误尝试后禁止,这真的是个问题吗?您的管理员多久将自己锁定一次?如果他们不记得密码,您也许可以查看 SSH 密钥?
如果管理员将从动态 IP 连接,我可以想到 3 个不同的选项:
ignoreip 选项不适用于管理员连接,应该明智地使用。例如,在专用网络中,您与其他用户位于不同的 VLAN 中,但即使这样也不应考虑(如果攻击者在您的 VLAN 中怎么办?)。
如果您知道服务器的密码,那么您不会禁止自己,但是如果您失败 3 次(或配置的 maxretry),请稍后再试(bantime 秒)。
我强烈建议使用 SSH 密钥,因为它更安全。并测试您的配置,以了解在尝试无效用户、无效密码等时是否运行良好(是的,这意味着禁止您自己)。