Při hledání správné míry zabezpečení jsem po přečtení spousty názorů došel k tomu, že fail2ban (nebo obdobné blokovače IP adres - Denyhost, CSF) je lepší vynechat.
- má to spoustu vedlejších účinků
- řeší některé problémy, ale jiné vytváří
- může mi to zablokovat mou IP adresu
- může to odříznot nevinné uživatele (sdílející IP s útočníkem)
- chrání to jen proti slabému útočníkovi, pro silného útočníka to stejně není překážka
- při zahlcení požadavky se to tímto ještě násobí, protože se na serveru provádí další režie navíc; analýza logů a změna nastavení fw nějaký výpočetní čas stojí
Stejně tak změna portu není zabezpečení, ale "obscuring".
SSH řešit pouze a jedině zakázáním přihlašování hesly a používat dobré klíče.
S blokovacmi suhlasim; rovnako aj s tym, ze zmena portu nie je zabezpecenie. Zmena portu vyrazne precisti logy, co moze pomoct pri analyze. Zakazanie hesiel nie vzdy prejde (=chce tam mat pristup aj niekto dalsi) a zle kluce nechavaju hlasky v logu.
Podobne je to aj s portknockingom, ktory tiez trochu pomaha, ale zase je to za cenu pouzitelnosti.
fail2ban rozhodně není metoda jak zesílit nejslabší bod ochrany.
Nicméně je to metoda jak zlevnit odrážení útoků na místo na které se útočí často. Já místo toho použil pravidlo v iptables, které dovolovalo jen málo spojení z jedné IP za pět minut. Pentium III, zátěž procesoru se z 100% vrátila k celkem normálním 2%.
