最近,我不得不与一些具有IPv6连接的服务器一起工作,但我惊讶地发现fail2ban不支持IPv6,denyhosts也没有。在Google上搜索时,我发现人们通常建议:
- 通过IPv6停用SSH登录(对我而言不是解决方案)
- 仅在服务器上使用私钥/公钥身份验证,而没有密码身份验证(可行,但是很多攻击可能会耗费服务器大量的处理能力,或者甚至可能由于DDoS使其无法使用)
- 使用ip6tables阻止来自同一IP的连续攻击
- 使用具有IPv6支持的sshguard
从目前为止我收集到的信息来看,IPv6中的地址禁止与IPv4上的有所不同,因为ISP不会为用户提供单个地址(/ 128),而是为整个子网提供一个地址(我目前拥有/ 48)。因此,禁止单个IPv6地址将无法有效抵抗攻击。我已经在攻击检测方面对ip6tables和sshguard阻止子网进行了严格的搜索,但是我没有找到任何信息。
有谁知道sshguard是否禁止子网进行IPv6攻击?
有谁知道如何制作ip6tables配置来禁止子网进行IPv6攻击?
还是有人知道比我已经发现的更好的缓解攻击的方法?
PS:我在系统上使用CentOS 7。