Я использую fail2ban для предотвращения атак перебором моих рабочих серверов. Fail2ban запрещает IP после 5 ошибок аутентификации и не запрещает ее после 1 часа с моей собственной конфигурацией. Интересно, что, какова оптимальная продолжительность запрета или я должен действительно не запретить ее снова? Действительно ли запрет является IP постоянно лучшее решение?
Общего правила для оптимального времени запрета не существует, оно зависит от множества факторов, включая
Конечно, это также верно и для того, чтобы решить, нужно ли вам вообще отменить запрет - если очень мало IP-адресов может законно подключаться к вашим службам, то запрет атакующих (полу-) навсегда может быть неплохой идеей, но в других случаях это создаст больше проблем, чем пользы.
Отредактируйте свой комментарий:
Самая важная защита для учетных записей root - это
Это также помогает защитить вас от распределенного типа атаки перебором, который вы можете наблюдать сегодня, когда вы медленно атакуете большое количество машин бот-сети, каждая из которых пытается перебрать только очень небольшое количество паролей, таким образом, вообще не запуская такие вещи, как fail2ban
.
2-я редакция, относительно 2-го комментария:
Мы явно находимся на территории "это зависит". Пример из моего окружения:
Дело в том, что 24-часовой запрет работает лишь незначительно лучше, если вообще (*), но машина 2 гораздо лучше защищена, тем не менее, из-за ограничения на вход с не корневыми ключами.
(*) Это мое впечатление и не основано ни на каком реальном статистическом анализе лог-файлов.
Плохое поведение - запрещать IP навсегда, так как любое безобидное соединение занимает этот IP в любое время.
Я обычно предпочитаю день для оптимального времени запрета. Такой подход обеспечивает защиту от атак с одного и того же IP в течение дня. Если вы все еще получаете атаки с одного и того же IP, вы можете вручную запретить его на месяц
.