ব্যর্থ লগইন প্রচেষ্টা অবরুদ্ধ করার প্রচেষ্টা কি মূল্য?

এটা উপযুক্ত চলছে fail2ban , sshdfilter বা অনুরূপ সরঞ্জাম, যা কালোতালিকা IP ঠিকানা যা প্রচেষ্টা এবং লগইন করতে ব্যর্থ?

আমি এটি যুক্তি দিয়ে দেখেছি যে এটি একটি "সঠিকভাবে সুরক্ষিত" সার্ভারের সুরক্ষা থিয়েটার। তবে আমি অনুভব করি যে এটি সম্ভবত স্ক্রিপ্টের বাচ্চাদের তাদের তালিকার পরবর্তী সার্ভারে এগিয়ে যেতে পারে।

ধরা যাক যে আমার সার্ভারটি "যথাযথভাবে সুরক্ষিত" এবং আমি উদ্বেগ বোধ করি না যে কোনও ব্রুট ফোর্স আক্রমণ আসলেই সফল হবে - এই সরঞ্জামগুলি কি কেবল আমার লগফিলগুলিকে পরিষ্কার রাখছে, বা ব্রুট ফোর্স আক্রমণের প্রচেষ্টা অবরুদ্ধ করার ক্ষেত্রে আমি কোনও উপযুক্ত সুবিধা পাচ্ছি?

আপডেট : পাসওয়ার্ডগুলির নিষ্ঠুর বল অনুমান সম্পর্কে প্রচুর মন্তব্য - আমি উল্লেখ করেছি যে আমি এই সম্পর্কে উদ্বিগ্ন নই। সম্ভবত আমার আরও নির্দিষ্ট হওয়া উচিত ছিল এবং জিজ্ঞাসা করা উচিত ছিল যে ব্যর্থ 2ban এর কোনও সার্ভারের জন্য কোনও সুবিধা রয়েছে যা কেবল কী ভিত্তিক এসএসএস লগইনগুলিকে অনুমতি দেয়।

রেট সীমাবদ্ধ লগইন প্রচেষ্টা কিছু উচ্চ গতির পাসওয়ার্ড অনুমানের আক্রমণ প্রতিরোধ করার একটি সহজ উপায়। যাইহোক, বিতরণ করা আক্রমণগুলি এবং অনেকগুলি সাপ্তাহিক বা কয়েক মাস ধরে স্বল্প গতিতে চালানো সীমাবদ্ধ করা শক্ত। আমি ব্যাক্তিগতভাবে ব্যর্থ 2ban এর মতো স্বয়ংক্রিয় প্রতিক্রিয়া সরঞ্জামগুলি এড়ানো পছন্দ করি। এবং এটি দুটি কারণে:

1. আইনী ব্যবহারকারীরা কখনও কখনও তাদের পাসওয়ার্ড ভুলে যান। আমি আমার সার্ভার থেকে বৈধ ব্যবহারকারীদের নিষিদ্ধ করতে চাই না, আমাকে পুনরায় তাদের অ্যাকাউন্টগুলিতে ম্যানুয়ালি সক্ষম করতে বাধ্য করা (বা আরও খারাপ, 100/1000 নিষিদ্ধ আইপি ঠিকানাগুলির মধ্যে কোনটি তা খুঁজে বের করার চেষ্টা করুন)।
2. কোনও আইপি ঠিকানা কোনও ব্যবহারকারীর পক্ষে ভাল শনাক্তকারী নয়। যদি আপনার একক আইপির পিছনে একাধিক ব্যবহারকারী থাকে (উদাহরণস্বরূপ, একটি স্কুল যে ৫০০ শিক্ষার্থী মেশিনে NAT চালায়) একক ব্যবহারকারীর কয়েকটি খারাপ অনুমান করা আপনাকে ব্যথার জগতে নিয়ে আসতে পারে। একই সাথে আমার দেখা পাসওয়ার্ড অনুমানের প্রচেষ্টার বেশিরভাগ বিতরণ করা হয়েছে।

অতএব আমি ব্রুট ফোর্সের আক্রমণগুলির বিরুদ্ধে সার্ভার সুরক্ষিত করার জন্য ব্যর্থ 2 (এবং অনুরূপ স্বয়ংক্রিয় প্রতিক্রিয়া সরঞ্জামগুলি) খুব ভাল পদ্ধতির বিবেচনা করি না। লগ স্প্যাম (যা আমার লিনাক্স সার্ভারের বেশিরভাগ অংশে আমার আছে) কাটাতে সেট করা একটি সাধারণ আইপিটবেবল বিধিগুলি হ'ল:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

এটি কোনও একক আইপি থেকে কোনও 60 সেকেন্ড সময়কালে 4 টিরও বেশি সংযোগের প্রচেষ্টা রোধ করে। পাসওয়ার্ডগুলি যুক্তিসঙ্গতভাবে শক্তিশালী হয় তা নিশ্চিত করে বাকীগুলি পরিচালনা করা যায়। উচ্চ সুরক্ষা সার্ভারগুলিতে ব্যবহারকারীদের পাবলিক কী প্রমাণীকরণ ব্যবহার করতে বাধ্য করা অনুমান করা বন্ধ করার আরেকটি উপায়।

ব্যর্থ2ban এর মতো সরঞ্জাম অপ্রয়োজনীয় নেটওয়ার্ক ট্র্যাফিক হ্রাস করতে এবং লগফাইলগুলিকে কিছুটা ছোট এবং পরিষ্কার রাখতে সহায়তা করে। এটি কোনও বৃহত সুরক্ষা নিরাময় নয়, তবে সিসাদমিন জীবনকে কিছুটা সহজ করে তোলে; এই কারণেই আমি যে সিস্টেমে এটির সামর্থ্য করতে পারে সেখানে ব্যর্থতা 2 ব্যাবহার করে পুনরায় আদায় করি।

এটি কেবল গোলমাল কেটে দেওয়ার বিষয়ে নয় - বেশিরভাগ এসএস আক্রমণগুলি পাসওয়ার্ডে অনুমান করার চেষ্টা করে। সুতরাং যখন আপনি প্রচুর ব্যর্থ ssh প্রচেষ্টা দেখতে পাচ্ছেন, সম্ভবত ২০৩৪ তম প্রচেষ্টা পেয়ে তারা একটি বৈধ ব্যবহারকারীর নাম / পাসওয়ার্ড পেতে পারে।

অন্যান্য পদ্ধতির সাথে তুলনা করতে ব্যর্থ 2ban সম্পর্কে দুর্দান্ত জিনিসটি এটি বৈধ সংযোগের প্রচেষ্টাতে ন্যূনতম প্রভাব ফেলে।

ঠিক আছে, এটি আপনার নেটওয়ার্ককে অস্বীকারকারী আক্রমণ থেকে কিছুটা বাঁচায় এবং ব্যর্থতাগুলি প্রক্রিয়া করার ওভারহেডে সংরক্ষণ করে।

স্ক্রিপ্ট কিডির তালিকায় দুর্বলতম সার্ভার না হওয়া সর্বদা একটি ভাল জিনিস।

দুঃখিত, তবে আমি বলব যে যদি আপনার এসএসডি পাসওয়ার্ড দিয়ে প্রমাণীকরণের প্রচেষ্টা অস্বীকার করে তবে আপনার সার্ভারটি সঠিকভাবে সুরক্ষিত।

PasswordAuthentication no