Vlákno názorů k článku Fail2ban: konec hádání hesel na serveru od Jiří J. - Pozor na opravdu distribuované útoky. Málo lidí si...
-
Jiří J. (neregistrovaný)
Pozor na opravdu distribuované útoky. Málo lidí si uvědomuje, že při použití obyčejného "iptables" příkazu se napřed z kernelu čtou všechna pravidla, pak se jedno přidá a pak se celý ruleset zapíše znova. To není tak velký problém pro 20 pravidel, ale 20000 pravidel už zabere nějakou tu minutu.
Režie běžného síťového provozu ale nebude velká, tedy pokud admin bude akceptovat packety z navázaných spojení před porovnáváním všech adres v blacklistu.Ideálnější by pro to bylo použít (od 2.6.39 konečně v upstream kernelu) ipset. Ten by se dal nasadit i tam, kde je vypnutý conntrack.
-
- Proč používat
fail2bankdyž existuje"iptables -m recent"který taky dokáže po několika pokusech zablokovat danou IP adresu? Není potřeba aby běžel další proces a funguje s IPv6. - Proti tomu se není možné jednoduše bránit, pokud nezakážete přístup z celého internetu a nepovolíte ho jen konkrétním IP adresám. -- spíš by mě zajímalo proč mít povolen přístup z celého internetu? Řekl bych že většina lidí se na své servery přihlašuje jen z několika málo míst, dejme tomu z práce, z domova, atd. Teď koukám že na VPS mám pro SSH povoleno jen 5 rozsahů (včetně celého /16 mého ADSL providera, ale to je pořád lepší než umožňovat přístup z kdejaké tramtárie). Z jiných sítí můžu přistupovat přes OpenVPN.
- Proč používat
