Názor k článku
Výzkumníci opět varují před stále nedostatečně zabezpečenými SSH servery od Filip Jirsák - Jenže fail2ban není žádný doplněk nebo vrstvení. fail2ban...

Jenže fail2ban není žádný doplněk nebo vrstvení. fail2ban zaúčinkuje teprve tehdy, když dojde k alespoň jednomu neúspěšnému pokusu o přihlášení a zablokuje jednu zdrojovou IP adresu, případně síť. Pokud by ale útočník zkoušel prorazit přihlášení klíčem a zkoušel by jeden klíč za druhým, proti tomu dostatečně ochrání už samotné přihlášení klíčem. Problém by byl, pokud by útočník uměl přihlášení klíčem obejít – třeba kvůli nějaké 0-day zranitelnosti. Jenže v takovém případě zase útočník nebude nejprve zkoušet nějaké jiné způsoby přihlášení, aby aktivoval fail2ban, ale zkusí rovnou to, o čem věří, že ho dostane dovnitř. Nebo-li obejde rovnou jak přihlášení tak fail2ban, takže žádné vrstvení.

Takže jediný případ, kdy by ochrana fail2ban mohla být účinná, je případ, kdy by chyba spočívala ve výrazném oslabení autentizace, kdy by útočník potřeboval sice více pokusů, ale nějaké omezené množství, aby stálo za to to zkoušet – třeba desítky nebo tisíce. Taková chyba je velmi málo pravděpodobná – navíc pak útočník může fail2ban snadno obejít tím, že bude každý pokus zkoušet z jiné IP adresy.

Takže fail2ban je velmi slabá ochrana. Navíc není pravda, že není ničemu na škodu. Zprovoznění fail2ban znamená, že přidáváte do systému prvek, na který lze snadno zaútočit, aby vyvolal DoS – tedy to, že se nepřihlásí ai oprávněný uživatel, protože útočník dostane jeho IP adresu na blacklist.

Další vrstva je třeba VPN nebo port knocking. fail2ban lze za další vrstvu považovat jen stěží.

Unika mi, proc tu o tomto mate potrebu polemizovat.
Třeba proto, že – jak ukazuje i váš komentář – spousta lidí si neuvědomuje, jaké jsou skutečné přínosy a rizika používání fail2ban.