设置fail2ban以忽略动态IP后面的连接
设置fail2ban以忽略动态IP后面的连接
提问于 2013-02-16 20:33:46
使用fail2ban来保护Ubuntu12.04 x64 Server 论数字海洋,同时编辑/etc/fail2ban/jail.local有以下部分:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8这就是管理员将要连接的IP,但是如果管理员有动态IP,有什么解决方案吗?
还是说这根本就辜负了目的?
回答 3
Server Fault用户
回答已采纳
发布于 2013-02-16 20:45:37
如果管理员将从动态If连接,我可以考虑三个不同的选项:
- 如果这些动态IP的范围已知且足够小,则添加这一范围。
- 让管理员设置指向当前IP的动态DNS主机名,并将这些主机名添加到这个忽略列表中。
- 确保您的管理员没有蝴蝶手指,并能正确键入他们的密码。)或者更好地设置私有/公共ssh密钥。
Server Fault用户
发布于 2013-02-16 20:42:10
最多可以用白名单显示你的管理员所在的IP范围,但是你很容易受到来自这个范围的攻击。它仍然有帮助(大多数蛮力来自其他国家/ISP),但并不理想。
如果它只禁止说,5不正确的尝试,这真的是一个问题吗?你的管理员多久会把自己锁在外面?如果他们不记得密码,你可以看看SSH密钥吗?
Server Fault用户
发布于 2015-07-09 05:28:15
Fail2ban是一种入侵预防软件框架,它保护计算机服务器免受暴力攻击.-维基百科
ignoreip选项不适用于管理连接,应该明智地使用。例如,在专用网络中,您所处的VLAN与其他用户的VLAN不同,但即便如此,也不应该考虑它(如果攻击者在您的VLAN中怎么办?)
如果您知道服务器的密码,那么您不会禁止自己,但是如果您失败了3次(或者配置了maxretry ),那么稍后再试(bantime秒)。
我强烈建议使用SSH密钥,因为它们更安全。并测试您的配置,以了解是否有效尝试无效用户、无效密码等(是的,这意味着禁止自己使用)。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/479557
复制相关文章
相似问题
腾讯云开发者
