阻止失败的登录尝试是否值得努力

是否值得运行fail2ban，sshdfilter 或类似工具，将哪些尝试登录失败的IP地址列入黑名单？

我已经看到它认为这是“适当安全”服务器上的安全区。但是，我认为这可能会使脚本小子移到列表中的下一个服务器。

假设我的服务器是“适当安全的”，并且我不担心暴力攻击实际上会成功-这些工具是否只是保持日志文件干净，还是我可以从阻止暴力攻击尝试中获得任何有价值的好处？

更新：关于暴力破解密码的很多评论-我确实提到我并不为此担心。也许我应该更具体一些，并问一下fail2ban是否对仅允许基于密钥的ssh登录的服务器有任何好处。

限速登录尝试是防止某些高速密码猜测攻击的简便方法。但是，很难限制分布式攻击，并且许多攻击在数周或数月内运行缓慢。我个人更喜欢避免使用诸如fail2ban之类的自动响应工具。这有两个原因：

1. 合法用户有时会忘记其密码。我不想禁止我的服务器中的合法用户，强迫我再次手动启用他们的帐户（或更糟糕的是，尝试找出100/1000被禁止的IP地址中的哪个是他们的）。
2. IP地址对于用户而言不是很好的标识符。如果您在一个IP后面有多个用户（例如，一所在500台学生计算机上运行NAT的学校），则一个用户做出一些错误的猜测会使您陷入痛苦的境地。同时，我看到的大多数密码猜测尝试都是分布式的。

因此，我认为fail2ban（以及类似的自动响应工具）不是保护服务器免受暴力攻击的一种很好的方法。一个简单的IPTables规则集可以减少日志垃圾邮件（我在大多数Linux服务器上都有），如下所示：

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

它可以防止在任何60秒的时间内从单个IP到ssh进行4次以上的连接尝试。其余的可以通过确保密码合理可靠来处理。在高安全性服务器上，强制用户使用公共密钥身份验证是另一种停止猜测的方法。

诸如fail2ban之类的工具有助于减少不必要的网络流量，并使日志文件更小，更整洁。这并不是什么大的安全问题，但是可以使sysadmin的工作更轻松一些。这就是为什么我建议您在负担得起的系统上使用fail2ban的原因。

这不仅是为了减少噪音-大多数ssh攻击都试图对密码进行暴力猜测。因此，尽管您会看到很多失败的ssh尝试，但也许到2034年尝试时，他们可能会获得有效的用户名/密码。

与其他方法相比，fail2ban的优点在于，它对有效连接尝试的影响最小。

好吧，它可以使您的网络免受拒绝攻击，并节省处理故障的开销。

不在脚本小子列表上成为最弱的服务器总是一件好事。

抱歉，但是如果您的sshd拒绝使用密码进行身份验证的尝试，那么您的服务器将受到适当保护。

PasswordAuthentication no