Я провел много исследований по Advanced Policy Firewall (APF) и Fail2Ban. У меня есть VPS под атакой грубой силы SSH. Я склоняюсь к APF и просто пропускаю свои несколько IP-адресов. Тем не менее, я хотел бы иметь удобство использования любого iP, который я хочу, что возможно с Fail2Ban.
Поскольку Fail2Ban сканирует журналы и записывает в IP-таблицы, есть ли у кого-нибудь опыт, какой из них лучше для безопасности и производительности VPS для экономии ресурсов? Я знаю, что они могут работать вместе, но хотел бы выбрать одного.
Оба брандмауэра являются лучшими в отрасли, При выборе наилучшего, он основывается на индивидуальных и экологических требованиях.
Я предпочитаю Fail2ban, а не APF,
По умолчанию fail2ban настроен на работу с iptables
Fail2ban добавляет цепочку в iptables.
У нас есть гибкость (вы можете писать свои собственные оповещения и фильтры) из настраивая fail2ban на множество различных действий, это позволяет ему иметь возможность работать с iptables, shorewall и т.д.
Сама служба невероятно проста для большинства пользователей, потому что большая часть о сложной конфигурации позаботились за вас.
Конфигурационные файлы кажутся гораздо более организованными и по своей природе похоже, допускают большую гибкость
Однако, когда вы отклоняетесь от стандартной конфигурации, это означает полезно знать, как работает fail2ban, чтобы манипулировать его поведение предсказуемым образом.
Укажите путь к любому лог-файлу (apache, ssh, nginx, почтовый сервер, ...).
Укажите регекс для шаблонов атаки (например, более 10 "404 ошибок" на тот же ip в журнале доступа nginx через 6 секунд)
Укажите регекс для игнорирования определенных шаблонов (очень полезно!)
Укажите время запрета
Отправьте письмо (или любое другое предупреждение...)
Примечание: Пожалуйста, уделите время повторному поиску того, что лучше для вашего так как все обновления будут основываться на экспозиции и Настройка для нашего окружения.