ik_5 : |
fail2ban קורא לוגים ומנסה לראות משהו שנכשל מספר פעמים לבצע פעולות וכניס אותו לiptables כ drop/reject.
אין בו צורך, הוא לא מאיץ לך שום דבר, הוא לא אקטיבי.
עכשיו שאלה, מה קורה אם יש לך בעיה במקלדת, טעית איקס פעמים בהזנת הסיסמה של ssh וכו' ?
fail2ban יחסום אותך, אלא אם מראש שמת חוק ל ip שלך שיוכל להיכנס שיהיה מעל כל חוק ש fail2ban מבצע. |
תלויי איך מגדירים אקטיבי
יש בו צורך, הוא מאיץ או מקל על השרת במובן זה שעדיף לחסום -או יותר טוב לא להתיחס בכלל- לנסיונות התחברות של נבלים ברשת. לקלוט, לבדוק הרשאותם, לסרב, ולרשום בלוג, עולה יותר: בביצועי המחשב, בזיהום הלוגים ברישום כפול וכו'.
לגבי שאלתך:
1. מומלץ מאד לא להכנס לשרת עם סיסמה, אלה רק עם מפתח.
2. זו בעיה טריוויאלית בשימוש בתוכנות/סקריפטים כאלו ולה 1001 פתרונות.
אפשר, כפי שרשמתה, 'להלבין' / לא לפעול על קב' IP מסוימות.
אפשר להגדיר את ביטול החסימה לאחר זמן מסויים -שאפשר שיעלה אקספונצאלית אם התגברות הנסיונות, טוב לחסימת כתובות דינמיות שיותר מאוחר עשויות להינתן למשתמש לגיטימי.
אפשר להגדיר משתמש 'למקרה חרום' אם מפתחות או סיסמה אחרים.
ועוד, ועוד, ועוד...
לא חסר מאמרים ברשת למי שירצה להתמקצע ב- fail2ban ודומייו -יש כמה סקריפטים כאלו בפיתון, בפרל ויש גם בשפת C לחתימה עוד יותר נמוכה מבחינת 'מעמסה' על המחשב.
יום טוב!