Нужен ли для серверов AWS fail2ban?
Я увидел, что при создании своего экземпляра AWS я выбрал только мой IP-адрес, имеющий доступ к моему серверу. Также есть ключ RSA, который настроен для вас. В этом случае мне действительно нужно установить fail2ban на сервере?
В этом случае я бы сказал, что fail2ban не потребуется.
Я бы действительно использовал fail2ban только тогда, когда вам нужно открыть службу управления для Интернета в гипервизоре (aws) межсетевой экран. В вашем случае все запросы, кроме тех, которые поступают с вашего IP-адреса, отбрасываются.
Одно замечание: если ваш IP-адрес изменится (нестатический), вам придется обновить группу безопасности aws.
Fail2ban сканирует файлы журналов на предмет потенциально вредоносных действий и блокирует IP-адреса, с которых происходит такое поведение. Обычно затем используется Fail2Ban для инициирования действия, которое блокирует повторение последующих (вредоносных) действий с этого IP-адреса.
Для предотвращения блокировки в качестве администратора вы обычно добавляете свои собственные (управляющие) сетевые адреса в белый список IP-адресов в fail2ban.
Теперь, если ваш сервер или служба защищены брандмауэром, чтобы разрешать доступ только с тех же IP-адресов и / или сетей, которые присутствуют в этом белом списке, fail2ban на самом деле ничего не сделает, верно?
Единственная причина, по которой я бы добавил fail2ban в вашем случае, - это DROP kids, пытающиеся подключиться к серверу на неопределенный срок, и ограничение ответов, которые он бесполезно обслуживает (в случае, если ваш сервер генерирует REJECT ответы тем, кто пытается подключиться).
Теперь у вас может быть веская причина для внесения IP-адресов в белый список, но SSH довольно безопасен, если вы сохраняете свой ключ в секрете (и лучше всего отключить вход root). Кроме того, довольно легко настроить двухфакторную аутентификацию по ssh (например, с помощью Google 2FA), используя ваш пароль и «случайное» сгенерированное число. Внесение IP в белый список для ssh в какой-то момент может стать непрактичным!
Преимущество использования брандмауэра AWS из Fail2ban - это API. С помощью API вы можете централизованно и автоматически управлять правилами брандмауэра в большом количестве экземпляров, а с fail2ban это значительно усложнит.
Во всех ответах говорится, что fail2ban не нужен из-за политик безопасности AWS, по сути, еще одного межсетевого экрана. Однако, если это когда-либо выйдет из строя или будет неправильно сконфигурировано, то могут возникнуть атаки. Комбинация iptables / firewalld / ufw и fail2ban имеет полный смысл, а многоуровневая безопасность является важной тактикой. Так что fail2ban (вместе с базовой конфигурацией брандмауэра) по-прежнему является хорошей идеей.
Я хочу добавить, как упомянул @tim,что fail2ban (и другие подобные инструменты) могут обеспечить большую степень детализации, чем политики безопасности AWS, которые, похоже, ограничены протоколами и диапазонами IP-адресов. Например, могут быть заблокированы агрессивные пауки, а также боты, которые пытаются войти в систему. Блокировка на сетевом уровне более эффективна, чем на уровне веб-сервера или веб-приложения (например, Wordpress).