fail2ban со статическим IP
Там какая-либо точка к выполнению fail2ban для защиты соединения SSH, если Вы соединяетесь от статического IP?
Насколько я вижу, что наличие fail2ban рабочий означает эффективное открытие порта 22 хакерам, поскольку это помещает запись в iptables, чтобы позволить порту 22 соединения от любого IP. Это может затем запретить их согласно Вашим настройкам тюрьмы, но разве не было бы более безопасно иметь следующие iptables записи вместо этого?
Chain INPUT (policy ACCEPT)
1 ACCEPT tcp -- {**mystaticIP**} 0.0.0.0/0 tcp dpt:22
2 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
**OR** maybe this option, with fail2ban, is safer?
Chain INPUT (policy ACCEPT)
1 fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
...
Chain fail2ban-SSH (1 references)
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
с jail.local, устанавливающим ignoreip = 127.0.0.1/8 {mystaticIP}
Das Beschränken des Zugriffs auf eine Anwendung auf eine bestimmte Teilmenge vertrauenswürdiger IP-Adressen ist immer weniger riskant als das Öffnen der gesamten Welt. Betrachten Sie das von Ihnen vorgestellte SSH-Beispiel. Fail2ban kann möglicherweise Versuche verlangsamen, Ihren SSH-Server brutal zu erzwingen. Der Anwendungsfall gilt im Allgemeinen für Systeme, die notwendigerweise über das gesamte Internet erreichbar sein müssen. Dies ist nützlich, führt jedoch zu keiner Sicherheitslücke in SSH.
Wenn verhindert wird, dass die Pakete mithilfe von iptables sogar Ihren SSH-Dämon erreichen, wird verhindert, dass böswilliger Datenverkehr ihn erreicht. Es würde auch Brute-Force-Versuche der ganzen Welt verhindern. Sofern eine Ihrer vertrauenswürdigen IPs nicht zuerst kompromittiert oder anderweitig als Reflexionspunkt verwendet wird, ist dieses Steuerelement viel effektiver als fail2ban.
Dies ist etwas meinungsbasiert, aber ich denke das Wenn Sie den Zugriff auf einen Dienst auf eine Reihe bestimmter IP-Adressen beschränken und alles andere blockieren können, ist dies einem Dienst wie fail2ban vorzuziehen, da Sie auch eine theoretische Ausnutzung dieses Dienstes verhindern.
Es ist durchaus möglich, dass eines Tages jemand einen Fehler in OpenSSH findet, der Zugriff gewährt, wenn bestimmte Umstände erfüllt sind. Fail2ban würde das nicht verhindern, aber wenn ein Angreifer nicht einmal eine Verbindung von seiner IP herstellen kann, sind Sie trotzdem geschützt.