Názor k článku
Výzkumníci opět varují před stále nedostatečně zabezpečenými SSH servery od Filip Jirsák - A taková databáze s IP, které mají otevřený...

A taková databáze s IP, které mají otevřený port k té zranitelnosti, je v tu chvíli hotový poklad.
To je argument pro použití třeba VPN nebo port knockingu, tedy způsobů, jak SSH server úplně ukrýt před světem. V tomhle případě nepomůže ani přesun SSH na nestandardní port (protože ten útočník snadno zjistí a akorát v té databázi IP adres bude mít vedle IP adresy uvedený i port) a nepomůže ani fail2ban, protože ten se aktivuje až v okamžiku, kdy útočník dávno ví, že tam SSH je a má IP adresu a port na seznamu.

Logování nemá nic společného s bezpečnostní?
Někdo tu něco takového psal?

Jestli chcete mít bezpečný domov, tak musíte vědět co se děje před dveřmi.
Takže budete logovat i ty pokusy o navázání spojení zakázané pomocí fail2ban, takže počet záznamů v logu neušetříte.

Zapomněl jste zdůraznit vaší oblíbenou repliku:
"Firewall víc škodí než pomáhá "
Jakékoli „zabezpečení“ založené jen na slepé víře vždycky víc škodí než pomáhá, protože jenom vzbuzuje falešný pocit bezpečí. Je třeba znám případ bankovního lupiče, který byl strašně překvapený, když ho policie na základě záznamu z kamer ztotožnila a přišla si pro něj. Věřil totiž, že když se pomaže citronovou šťávou, na kamerách bude neviditelný.

Je tu několik lidí, kteří hájí fail2ban jako druhou vrstvu zabezpečení. Nikdo ale nedokázal popsat způsob útoku, při kterém by fail2ban pomohl. (Respektive jediný, kdo takový útok – extrémně nepravděpodobný – popsal, jsem byl já, a pak ten samý útok popsal znovu Jenda . Nikdo z obhájců fail2ban nepřišel s ničím pravděpodobnějším.) Zato někteří obhájci fail2ban používají argumentační fauly. Tedy typický znak slepé víry – když někdo nemá žádné argumenty, o to víc se snaží útočit neargumenty. Pak jsou tu lidé, kteří fail2ban asi používají, k důvodům se nevyjadřují, ale aspoň nepoužívají argumentační fauly – těm vlastně věřím víc, že k použití nějaký relevantní důvod mají, než zaslepencům, kteří o co méně mají argumentů, o to více útočí.

Jen pro pořádek, co znamenají dvě vrstvy zabezpečení – znamená to, že je velká pravděpodobnost, že když jedna vrstva zabezpečení selže, zafunguje druhá vrstva zabezpečení. Pokud jedna vrstva zabezpečení funguje jen v případech, které zastaví i druhá vrstva, je ta první vrstva zbytečná a nepředstavuje žádné posílení bezpečnosti. A to je přesně případ fail2ban v případě použití silného klíče (nebo i silného hesla). Proti útoku hrubou silou hádáním klíčů/hesel chrání ten silný klíč nebo heslo, fail2ban k tomu žádnou další bezpečnost nepřidá. A naopak, pokud selže ta ochrana klíčem či heslem (typicky protože útočník heslo nebo klíč získá odjinud), projde útočník zpravidla na první pokus, takže žádný fail2ban nepomůže, protože se vůbec neaktivuje.

Už to tu vysvětluju podruhé, tak třeba přijde i někdo, kdo proti tomu bude mít nějaké argumenty a nebude jen demonstrovat svou příslušnost k víře.