キー認証に切り替えてFail2banをインストールするだけで十分であり、これはすでにセキュリティの保証になります。 残念ながら、私たちは絶えず変化する現実の世界に住んでおり、提案されているセキュリティ対策ではもはや十分ではありません。
見てみましょう-キー認証により、2つの比較的安全なsshキー-RSA-4096とED25519が残されました。DSAキーは、OpenSSHの最新バージョンに含まれなくなりました。 同時に、誰かが興味を持っているなら、Googleが支援するED25519、Googleの信頼性に関するインターネット上の疑念の存在を考慮しなければなりません。
キーに加えて、少なくとも大文字と小文字が異なるランダムな文字のキーには、少なくとも長いパスフレーズをお勧めします。
ブルートフォース攻撃-ホストが標的にされた場合に何が起こるかを簡単に見てみましょう。
ステージ1-オープンポートを含むホスト情報の収集
この情報の収集は、ログに常に反映されるわけではありません。たとえば、接続を確立せずにポートスキャンを実行できます。 Fail2banはここでは役に立ちません。ログエントリでのみ機能します。 最初の段階では、インストールされている保護システムも監視できます。 たとえば、ブロックするまでの認証試行回数、ブロック時間を決定します。
ステージ2-SSHをハッキングしてシステムにアクセスしようとする
数千のアドレスを持つボットネットがハッキングに使用され、単純な場合のスキャンは、数百および数千のアドレスからのFail2banのデフォルト設定をバイパスし、被害者保護システムの設定を考慮した深刻なスキャンを行います。 また、特にSSHがポート22にあり、デフォルトでFail2Banの設定が残っている場合、Fail2Banは役に立ちません。
いずれかのサーバーの外部境界では、すべてのポートが閉じられていますが、数日で最大数千のホストが標準ポートへの接続を確立しようとしています。 さらに、スキャンでは可能な保護が考慮され、1つのアドレスからのパケットは原則として数分間隔で送信されます。
もちろん、Fail2banは、ホストやサービスの標準以外の設定で他のサービスを保護するのに効果的です。
何らかの理由で、常に第2段階が最も危険であるように見えます。実際、第1段階ではホストの脆弱性を探します。単純なブルートフォースSSHよりもはるかに危険です。 近くに脆弱性のある開かれたドアがあるときにSSHを破る理由。
標準ポートの変更に関しては、 SSHセキュリティに関する最近のBestPracticレビューがあります。標準ポートの変更には8ポイントがかかり、キー認証が最初の項目であり、Fail2banまたはanalogs 10ポイントをインストールします。 トップ20 OpenSSHサーバーベストセキュリティプラクティス 。
SSHポートを非標準に切り替えると、スキャン試行を追跡するためのトラップとして標準ポートを使用し、受信したIPアドレスを長時間およびすべてのポートでブロックできます。これはBestPractic記事の11ポイントです。 当然、ランダムロックを取得しないために白いアドレスを指定する必要があります。これらはBestPracticの記事で7および8ポイントです。
したがって、システムに関する情報を収集するコストが増加します。 開いているポートに関する情報は、システムをスキャンするのに数千のIPアドレスまたは数か月かかります。 私のSSHポートが潜在的な攻撃者に知られていない場合、たとえ脆弱性が現れたとしても、攻撃者はそれを使用できません。