我看到当我创建我的 AWS 实例时,我选择了只有我的 IP 地址能够访问我的服务器。还有一个为您配置的 RSA 密钥。在这种情况下,我真的需要在服务器上安装 fail2ban 吗?
AskOverflow.Dev
我看到当我创建我的 AWS 实例时,我选择了只有我的 IP 地址能够访问我的服务器。还有一个为您配置的 RSA 密钥。在这种情况下,我真的需要在服务器上安装 fail2ban 吗?
由于 AWS 安全策略,所有关于 fail2ban 的答案都是不必要的,实际上是另一个防火墙。但是,如果失败或配置错误,那么攻击可能会出现。iptables/firewalld/ufw 和 fail2ban 的组合是完全有意义的,分层安全是一个重要的策略。所以fail2ban(连同基本的防火墙配置)仍然是一个好主意。
正如@tim 所提到的,我想补充一点,fail2ban(和其他类型的类似工具)可以提供比 AWS 安全策略更多的粒度,后者似乎仅限于协议和 IP 地址范围。例如,可以阻止攻击性蜘蛛以及尝试登录的机器人。网络层的阻塞比网络服务器或网络应用程序(例如,Wordpress)层更有效。
在这种情况下,我会说不需要fail2ban。
当您必须在管理程序 (aws) 防火墙中向 Internet 公开管理服务时,我真的只会使用 fail2ban。在您的情况下,除了来自您的 IP 的请求之外的所有请求都将被丢弃。
需要注意的一件事是,如果您的 IP 地址发生更改(非静态),您将必须更新 aws 安全组。
Fail2ban 扫描日志文件以查找潜在的恶意操作,并禁止此类行为源自的 IP 地址。通常 Fail2Ban 然后用于启动一个操作,该操作将阻止来自该 IP 地址的后续(恶意)操作重复发生。
为了防止以管理员身份被锁定,您通常会将自己的(管理)网络地址添加到fail2ban 中的IP 白名单中。
现在,如果您的服务器或服务已被防火墙设置为仅允许来自该白名单中存在的相同 IP 地址和/或网络的访问,那么 fail2ban 将永远不会真正做任何事情,对吧?
使用 Fail2ban 的 AWS 防火墙的优势在于 API。在 API 的帮助下,您可以集中自动管理大量实例上的防火墙规则,而使用 fail2ban,这将变得更加困难。
在您的情况下,我添加 fail2ban 的唯一原因是 DROP 孩子试图无限期地连接服务器并限制它提供的响应(如果您的服务器确实为那些尝试连接的人生成 REJECT 答案)。
现在,您可能有充分的理由将 IP 列入白名单,但在 SSH 上是相当安全的,只要您将密钥保密(最好禁用 root 登录)。此外,使用您的密码和“随机”生成的数字在 ssh 上设置 2 因素身份验证(例如使用 Google 2FA)非常容易。将 ssh 的 IP 列入白名单可能在某些时候变得不切实际!