fail2ban安全吗？更好地使用ssh键？

我不确定是否应该在登录SSH时使用密钥身份验证，还是只使用fail2ban + ssh（禁用root登录）。

fail2ban是安全的吗？还是继续进行并生成所有需要连接到ssh的客户端计算机上的密钥和配置，真的更好吗？

我认为它是稳定的产品，并且我认为它是安全的。作为额外的预防措施，我会将您的源IP地址添加到中的ignoreip指令中，jails.conf以确保您不会阻止自己。

由于它将解析ssh日志，因此必须建立TCP会话，因此欺骗源IP并正确获取TCP序列号以创建某种反向散射变型的可能性很小。

在此之上使用键也不是一个坏主意。其他有助于将ssh迁移到非标准IP，使用“最新” iptables模块的选项，或者只是确定您不在乎人们是否尝试使用强行密码，这是其他有用的选项。有关这些的更多信息，请参见此serverfault帖子。

每当我在生产环境中实现denyhosts或fail2ban时，它都会创建保证的票证流，其中包括解锁请求，密码重置请求，更改设置或管理白名单的请求，通常只有放弃登录到该目录的人调查事情，并更多地依靠系统管理员来解决他们自己可以做的事情。

这两种工具本身都不是技术问题，但是如果您的用户数量达到数十个或更多，则支持工作量和受挫用户将明显增加。

另外，他们解决的问题是它们减少了暴力SSH登录攻击的风险。坦白说，只要您有适度的密码策略，这样做的风险就非常小。

我使用了几年，至少对脚本小子来说是很好的保护。
没有root用户登录，再加上相当长且随机的密码和fail2ban，也许对于我们大多数人来说，不同的端口也足够安全。
当然，ssh密钥作为安全性要好得多。

我已经在我的多个生产和非生产服务器中使用denyhosts，它确实运行良好（我在守护程序同步方面遇到了问题，所以我现在不使用它，但是也许它再次运行正常）。

不仅使您的系统更安全，而且还可以帮助您保存更整洁的日志，并将不想要的人拒之门外...

我已经运行Fail2Ban了一段时间，而最近，我已经看到分布式尝试侵入SSH服务器。他们永远不会以自己的发展速度取得成功，但是我一直在关注它。

他们一直在浏览字典，每个IP尝试两次，在这些尝试失败之后，另一个IP尝试同样的操作，等等。但是到目前为止，我已经获得了数千种尝试进入的IP。而且我担心即使我全部阻止了它们，还会有更多。