AZ
Для прода лучший вариант ч/б списки либо впн
Size: a a a
2019 June 13
O
Для прода лучший вариант ч/б списки либо впн
Тоже справедливо. Подумываю об этом
AS
Omfg
Однозначно
А разве кто-то ещё выставляет ssh по паролю? Ну ССЗБ.
O
А разве кто-то ещё выставляет ssh по паролю? Ну ССЗБ.
Ну бывает иногда наверно. Я хз. На проде не видел.
2019 June 14
ИИ
fail2ban - бесполезен, никогда не понимал этой фигни на сервере, pwgen 8 уже не подобрать за реальное время, т.к. у ssh по умолчанию 3 секунды промежуток между попытками логина.
fail2ban не только про ssh. Он может парсить любые логи. Настраиваешь реагировать на нужную строку, вытаскивать ip и банить. У него из коробки правила для нескольких десятков приложений. apache, asterisk, mysql, nginx, proftpd и т.д.
NS
fail2ban не только про ssh. Он может парсить любые логи. Настраиваешь реагировать на нужную строку, вытаскивать ip и банить. У него из коробки правила для нескольких десятков приложений. apache, asterisk, mysql, nginx, proftpd и т.д.
Все эти приложения имеют встроенные средства ограничения доступа, поэтому для меня нужность fail2ban все еще неочевидна.
ИИ
Ограничения доступа или защиты от брутфорса?)
ИИ
Ни одно из этих встроенных средств не закрывает порт через iptables)
Плюс fail2ban из коробки умеет закрыть порт на время, потом открыть.
Плюс на почту прилетает статистика по банам и разбанам.
Плюс fail2ban из коробки умеет закрыть порт на время, потом открыть.
Плюс на почту прилетает статистика по банам и разбанам.
AZ
Если брать данный кейс с фронтендом Opennebula в проде то это не про fail2ban. Как писал выше - ч/б списки и vpn
NS
Ни одно из этих встроенных средств не закрывает порт через iptables)
Плюс fail2ban из коробки умеет закрыть порт на время, потом открыть.
Плюс на почту прилетает статистика по банам и разбанам.
Плюс fail2ban из коробки умеет закрыть порт на время, потом открыть.
Плюс на почту прилетает статистика по банам и разбанам.
А зачем вообще такой кейс? Мне очень не нравится, что за вас что то трогает системный фаерволл. Сервисы сами умеют защищаться от брутфорса, тот же ssh имеет sleep между попытками логина. nginx имеет limit_req и limit_conn и т.д. Защищаться от атаки на 7м уровне при помощи блока на 3м - плохая практика - меня так учили: Либо вообще не высталяй во внешку - либо правильно настраивай сервис, а костыли всякие, типа fail2ban все равно при реальной атаке одни проблемы создают, а защищают только от совсем детских атак.
ИИ
Ну, не у всех сервисов есть хорошие средства от брутфорса.
Например, mysql и asterisk.
Но, как я вижу, это уже холиварный вопрос, кого как учили
Например, mysql и asterisk.
Но, как я вижу, это уже холиварный вопрос, кого как учили
NS
Ну, не у всех сервисов есть хорошие средства от брутфорса.
Например, mysql и asterisk.
Но, как я вижу, это уже холиварный вопрос, кого как учили
Например, mysql и asterisk.
Но, как я вижу, это уже холиварный вопрос, кого как учили
Это да, но если посмотреть с другой стороны: это всего-лишь значит что такие сервисы вообще не должны во внешку выставляться, т.к. они для этого не предназначены. Сделает ли добавление к ним fail2ban их безопасными, очень большой вопрос(на самом деле нет). По поводу "кого как учили" - ну мы же не приприетарь ставим по мануалу "Далее-далее-Готово", различие в подходах будет всегда.
ИИ
> значит что такие сервисы вообще не должны во внешку выставляться
В том и суть. Сервисы для внешки. А от брута своими средствами защищаться не умеют. Если в такой ситуации начинаешь искать "чем бы прикрыть", fail2ban отлично подходит.
В том и суть. Сервисы для внешки. А от брута своими средствами защищаться не умеют. Если в такой ситуации начинаешь искать "чем бы прикрыть", fail2ban отлично подходит.
k
а никто oauth2 к opennebula не прикручивал?
NS
> значит что такие сервисы вообще не должны во внешку выставляться
В том и суть. Сервисы для внешки. А от брута своими средствами защищаться не умеют. Если в такой ситуации начинаешь искать "чем бы прикрыть", fail2ban отлично подходит.
В том и суть. Сервисы для внешки. А от брута своими средствами защищаться не умеют. Если в такой ситуации начинаешь искать "чем бы прикрыть", fail2ban отлично подходит.
Ну вот, а мне такой подход не нравится, либо сервис публичный - либо нет. полумеры могут привести к очень плохим последствиям, типа слитых через всякие открытые редисы баз юзеров и пр. Если конечно есть железная бизнес-необходимость, тогда другое дело, но опять же, я бы в первую очередь попытался найти какой-нить умный фаерволл, работающий на уровне защищаемого приложения, который реально может защитить от атак, а не решение на баше.
AZ
а никто oauth2 к opennebula не прикручивал?
Неа, но было бы круто
ИИ
Ну вот, а мне такой подход не нравится, либо сервис публичный - либо нет. полумеры могут привести к очень плохим последствиям, типа слитых через всякие открытые редисы баз юзеров и пр. Если конечно есть железная бизнес-необходимость, тогда другое дело, но опять же, я бы в первую очередь попытался найти какой-нить умный фаерволл, работающий на уровне защищаемого приложения, который реально может защитить от атак, а не решение на баше.
Понимаю. Ну тогда это уже спор о реализации) А тут кому что нравится, само собой.
NS
Понимаю. Ну тогда это уже спор о реализации) А тут кому что нравится, само собой.
Мы ж не спорим, мы дискутируем о разнице в подходах Ж)
ИИ
Ну да. Ну тут вже вкусовщина. Лично мне нравится брутфорсеру жестко закрыть доступ через iptables)
k
Неа, но было бы круто
Похоже что все должно работать без проблем
https://forum.opennebula.org/t/openid-openid-connect/2515/2
https://forum.opennebula.org/t/openid-openid-connect/2515/2
