Názor k článku
Výzkumníci opět varují před stále nedostatečně zabezpečenými SSH servery od Filip Jirsák - preruseni brute force utoku a blokace utocnika neni...

preruseni brute force utoku a blokace utocnika neni podle Vas uzitecne (i kdyz je SSH server spravne nakonfigurovany) i kdyz utocnik muze casem zkusit jiny utok
Za prvé není zaručeno, že to ten útok přeruší – jenom možná jednotlivé pokusy zastavíte dřív. Za druhé to „přerušení“ má podstatnou režii. Za třetí to nepřeruší každý útok hrubou silou – třeba distribuované útoky poběží vesele dál. SUma sumárum – užitečnost je za mne dost nízká. A za čtvrté, může to zastavit i legitimní komunikaci, nebo-li to způsobí DoS – to, ve spojení s nízkou užitečností, mne vede k rozhodnutí nepoužívat to, pokud jsou jiné lepší možnosti.

kdo Vam kdy zaruci ze prave Vas spravne nakonfigurovany server ma skryty zero-day bug kde prave specialni kombinace jmena a hesla nebo kadence zkouseni zpusobi jednou za cas nejaky buffer overflow a pristup k root konsoli?
Vycucal jste si z prstu hezký příklad, zejména ta kadence zkoušení mne zaujala. Tu správnou kadenci zkoušení ve vašem extrémně nepravděpodobném příkladu totiž může způsobit i fail2ban a bez něj by k chybě nedošlo.

Zkrátka chyby, u kterých by fail2ban pomohl, jsou tak extrémně málo pravděpodobné, že je srovnatelná pravděpodobnost, že fail2ban naopak takovou chybu aktivuje. A hlavně jsou to všechno pravděpodobnosti, o kterých vůbec nemá smysl se bavit.

Nejpravděpodobnější varianta, kdy by fail2ban pomohl, (už několikrát zde zmíněná), by bylo takové oslabení přihlašování, že by útočníkovi stačily řádově desítky až desítky tisíc pokusů k přihlášení. Taková varianta ale není moc pravděpodobná – a kdybych se jí chtěl bránit, nebudu to dělat pomocí fail2ban, který v takovém případě poskytuje velmi nedokonalou ochranu. Protože takovýhle útok se dá snadno a poměrně levně distribuovat, takže fail2ban by ho nezachytil. Takže takovémuto útoku bych se bránil jiným způsobem, který bude o mnoho řádů bezpečnější, než fail2ban, a přitom je srovnatelně nákladný. Opět, už tu byly mnohokrát zmíněny možnosti – např. VPN nebo nějaký tajný kód na zpřístupnění služby, třeba port knocking, speciální ping, zavolání speciální HTTPS adresy apod.

A to je právě ten problém fail2ban. Že ochrana, kterou přináší, je velmi slabá, má výrazné negativní vedlejší efekty, a přitom není o tolik složitější nakonfigurovat pořádnou ochranu, která nekapituluje před distribuovaným útokem a která chrání před širokou škálou 0-day zranitelností a dokonce i před únikem privátního klíče, ne před jedním obskurním typem zranitelnosti.