Требуется ли fail2ban, если уже используется firewalld и ограничен ssh
Версия OSX sedдовольно раздражает (на самом деле это версия BSD ). Обычно я устанавливаю GNU sedчерез brew :
.
$ brew search sed
==> Formulae
gnu-sed ✔ libxdg-basedir minised ssed
==> Casks
eclipse-dsl marsedit
exoduseden microsoft-bing-ads-editor
focused osxfuse-dev
google-adwords-editor physicseditor
lego-mindstorms-education-ev3 prefs-editor
licensed subclassed-mnemosyne
Установить:
$ brew install gnu-sed
Затем вы можете использовать его так:
$ gsed....
И вуаля, ваш пример теперь работает:
$ echo 'text (1984/1984) text' | sed -E 's_\(([0-9]{4})/\1\)_\(\1\)_g'
text (1984/1984) text
$ echo 'text (1984/1984) text' | gsed -E 's_\(([0-9]{4})/\1\)_\(\1\)_g'
text (1984) text
Ссылки
fail2banдовольно проста. :Если с одного и того же IP-адреса было предпринято определенное количество неудачных попыток входа в систему по ssh, этот IP-адрес временно блокируется.
Поскольку вы открыли порт 22 только для 3 IP-адресов, вы уже блокируете злоумышленникам доступ к SSH. Другие ваши меры предосторожности (ни рута, ни паролей )тоже очень хороши. Основываясь на этих существующих мерах предосторожности, я бы не стал беспокоиться о fail2ban.
Некоторые люди могут сказать, что fail2ban полезен не только для ssh, но, поскольку открыт только порт 80/443, мне трудно придумать случай.
Наконец, вы уже связались с ответом , который предлагает два других преимущества:
- Предотвращение заполнения журнала авторизации
- Уменьшает количество ненужных циклов ЦП, связанных с попытками грубой силы.
Я не думаю, что это выгодно для вас. Поскольку вы ограничиваете порт 22 тремя IP-адресами, вы не будете получать попытки со случайных IP-адресов. Единственный способ, которым fail2ban мог бы что-то сделать, — это если бы один из этих трех IP-адресов начал брутфорс специально для вас -. Любой брутфорс вряд ли будет успешным, потому что вы уже отключили root и отключили пароли. Следовательно, этот конкретный IP-адрес будет забанен, и я предполагаю, что это большая проблема для вас, поскольку он находится в вашем списке и, вероятно, необходим для ваших операций.
Fail2ban никогда не является обязательным, однако он полезен.
Если доступ к SSH возможен только через несколько IPS, и вы обычно доверяете тем, у кого есть доступ к этой IPS, тогда fail2ban менее полезен для защиты SSH. Действительно, может быть больно, если у кого-то возникают проблемы со входом в систему, и он внезапно блокирует весь офис.
Но fail2ban — это гораздо больше, чем защита SSH. Его конфигурация довольно сложна, но его можно настроить для просмотра любого журнала. Это означает, что ваши веб-приложения (на портах 80 и 443 )также можно отслеживать. Некоторые хорошо знают. Веб-приложения (, такие как wordpress ), вызывают множество нежелательных попыток взлома со стороны ботов. Fail2ban также является хорошим механизмом для их блокировки.
Так что в вашем случае я подозреваю, что fail2ban не будет особенно полезен для защиты SSH, но подумайте, какую защиту вы установите для своих веб-приложений.