fail2banは安全ですか？sshキーを使用する方が良いですか？

SSHにログインするときにキー認証を使用するのか、単にfail2ban + ssh（rootログインが無効）を使用するのかは疑問です。

fail2banは安全ですか？それとも、sshに接続する必要のあるすべてのクライアントマシンでキーを生成して設定するだけで本当に良いですか？

私はそれを安定した製品と判断し、安全だと考えています。追加の予防策として、あなたが自分自身をブロックしないignoreipように、ソースIPアドレスをディレクティブに追加しますjails.conf。

sshログを解析するため、TCPセッションを確立する必要があるため、送信元IPをスプーフィングし、TCPシーケンス番号を正しく取得して、一種の後方散乱変動を作成することは考えにくいです。

この上にキーを使用することも悪い考えではありません。他のオプションは、「最近の」iptablesモジュールを使用して、sshを非標準のIPに移行するか、単にパスワードをブルートフォースしようとしても構わないと判断することです。これらの詳細については、このserverfaultの投稿を参照してください。

本番環境でdenyhostsまたはfail2banを実装するたびに、ロック解除リクエスト、パスワードリセットリクエスト、設定の変更またはホワイトリストの管理リクエスト、および一般的にログインを放棄するユーザーのチケットストリームが保証されます物事に目を向け、自分でできることをシステム管理者に頼りましょう。

どちらのツール自体にも技術的な問題はありませんが、ユーザーが数十人以上になると、サポートワークロードとユーザーのフラストレーションが顕著に増加します。

また、彼らが解決する問題は、ブルートフォースsshログイン攻撃のリスクを減らすことです。正直なところ、中程度のまともなパスワードポリシーさえ持っている限り、そのリスクは信じられないほど小さいです。

私は数年前から使用しており、少なくともスクリプトのキディに対する優れた保護です。
ルートログオンはなく、非常に長くランダムなパスワードとfail2banおよび多分異なるポートが、ほとんどの人にとって十分に安全です。
もちろん、sshキーはセキュリティとしてはるかに優れています。

私はいくつかの実動サーバーと非実動サーバーでdenyhostsを使用してきましたが、本当にうまく機能します（デーモンの同期に問題があったため、今は使用しませんが、再び正常に機能する可能性があります）。

システムをより安全にするだけでなく、ログをきれいに保ち、不要な人をログイン画面から排除するのに役立ちます...

しばらくの間Fail2Banを実行しましたが、ごく最近、SSHサーバーへの侵入の試みが分散しているのを見ました。彼らは彼らの行く速度で成功することは決してないだろうが、私はそれに目を光らせてきた。

彼らは辞書を通過しており、各IPは2回試行され、それらの試行は別のIPが同じように失敗した後などになります。しかし、これまでのところ、数千の異なるIPを取得しようとしています。そして、それらをすべてブロックしても、まだまだあるのではないかと心配しています。