Нет, сам Fail2Ban не работает на уровне ядра. Это userspace-демон, который крутится как обычный процесс и взаимодействует с системой через уже существующие механизмы ядра. По факту, f2b читает логи и на основании их производит какие-то действия. В статье я подвел итог, что "новая" фича не заменяет f2, а дополняет. Тем более, что последний не только с ssh работает.
Если Fail2Ban уже развёрнут, то лучше (имхо) ограничениями управлять централизованно.
в поведении по умолчанию поведение достаточно мягкое, если не тюнить "под себя", то стоит хотя бы не выключать. Хуже не будет, а нагрузку на сервер может снизить, при сильном брутфорсе.
Понимаю. У меня просто спортивный интерес. Я из пачнота сначала вообще не понял про что речь. Потом погуглил немного и не нашёл чего-то, что объяснило весь функционал. Решил разобраться. Так статья и появилась.
можно попробовать на тестовом стенде запустить многопоточный брутфорс при чем с нескольких IP. Но это нужно делать когда сервера физические. Намоем стенде все виртуалки, не думаю, что при таком сетапе эксперимент будет чистым. Так как брут сам по себе будет нагружать ЦПУ, и это может сказаться на подопытной ВМ. Я, кстати, не уверен, что такую нагрузку можно сгенерировать таким способом. Хотя идея привлекательная. Было бы интересно такое реализовать. Ну и как я писал в статье, наличие этой фичи, не означает, что f2b теперь не нужен.
Нет, аутентификация по ключу спасает от того, что пароль всё таки подберут. Но пытаться всё равно будут, так как снаружи не видно пароль у Вас там или ключи.
Спасибо за комментарий. Думаю, что при достаточно мощной атаке не только эта фича не поможет, а, в принципе, ничего не спасет. Но, как мне кажется, критичные сервера, на которые проводят мощные атаки, не святят ssh наружу. По крайне мере, не должны светить.
Мне абсолютно непонятен, даже с точки зрения простой человеческой логики, смысл того огромного количества нововведений и запретов, которые не просто бьют по бизнесу, но и напрямую снижают качество жизни людей.
Да в общем-то, как раз всё понятно. Просто у Вас задача формируется не стой стороны, по этому и логики не видно. В государстве, в котором отсутствует законность, отсутствует защита частной собственности (да, да, она как бы есть, но её нет), а те, кто законы принимает, оторваны от реальности и делают только то, что обогащает небольшую группу конкретных людей, вопрос нужно ставить так: qui prodest. И если на этот вопрос ответить честно, то всё встает на свои места. Правда картина мира при этом становится оооочень не приятная. По этому многие всеми силами отвергают правильный ответ и придумывают оправдания происходящего.
Зря Вы так. Я тоже адепт дебиана, использую и на домашнем ПК в том числе. Но боооольшая часть всех серверов, именно на убунте. Это личный опыт, я сетевой инженер в облачном провайдере, т.е. вижу запросы клиентов. Хотя, так же могу сказать, что очень большое количество серверов всё еще на 20.04, 22.04 и, скорее всего, в ближайшую пятилетку не обновятся. А может быть и вообще никогда.
А это интересная мысль. Последние пару дней, как раз размышляю над тем, а что будет, если всё население страны, внезапно, возьмёт и не заплатит налоги. Месяца два.
Понятно, что есть куча "зашитых" налогов. Но тут суть в другом. В масштабах страны даже эти "открытые" налоги, это очень большие суммы. И как способ показать свою волю вполне себе. И да, это только теоретические рассуждения.
представим ситуацию. Два сферических кандидата в вакууме. Один только обещает, второй делает. Кто из них будет нравиться электорату? Да, для того, чтобы понять ху из ху требуется время и наблюдение. Но, никто ведь не говорит, что все изменится в лучшую сторону в мгновение ока. Так, что Ваш аргумент не очень и аргумент.
Да, вы правы, не боевые действия, а война. Война, которую развязал дед-геостратег, тем самым "обнулив" нормальное будущее нескольких молодых поколений.
Скорее всего мой коммент хабр потрет. Но те, кто прочитают, пусть знают, что правду говорить нужно. Причём говорить вслух.
Нет, сам Fail2Ban не работает на уровне ядра. Это userspace-демон, который крутится как обычный процесс и взаимодействует с системой через уже существующие механизмы ядра. По факту, f2b читает логи и на основании их производит какие-то действия.
В статье я подвел итог, что "новая" фича не заменяет f2, а дополняет. Тем более, что последний не только с ssh работает.
в поведении по умолчанию поведение достаточно мягкое, если не тюнить "под себя", то стоит хотя бы не выключать. Хуже не будет, а нагрузку на сервер может снизить, при сильном брутфорсе.
Так ради этого все и делается. Ну и ещё ради очередных звёзд на погонах. Хотя это тоже ради денег.
Спасибо за уточнение, поправил этот момент в статье. Карму, к сожалению, начислить не дает. По этому могу только плюсануть.
Понимаю. У меня просто спортивный интерес. Я из пачнота сначала вообще не понял про что речь. Потом погуглил немного и не нашёл чего-то, что объяснило весь функционал. Решил разобраться. Так статья и появилась.
можно попробовать на тестовом стенде запустить многопоточный брутфорс при чем с нескольких IP. Но это нужно делать когда сервера физические. Намоем стенде все виртуалки, не думаю, что при таком сетапе эксперимент будет чистым. Так как брут сам по себе будет нагружать ЦПУ, и это может сказаться на подопытной ВМ.
Я, кстати, не уверен, что такую нагрузку можно сгенерировать таким способом. Хотя идея привлекательная. Было бы интересно такое реализовать.
Ну и как я писал в статье, наличие этой фичи, не означает, что f2b теперь не нужен.
Нет, аутентификация по ключу спасает от того, что пароль всё таки подберут. Но пытаться всё равно будут, так как снаружи не видно пароль у Вас там или ключи.
Уточняю, ни за сколько не продаю =)
Спасибо за комментарий. Думаю, что при достаточно мощной атаке не только эта фича не поможет, а, в принципе, ничего не спасет. Но, как мне кажется, критичные сервера, на которые проводят мощные атаки, не святят ssh наружу. По крайне мере, не должны светить.
Да в общем-то, как раз всё понятно. Просто у Вас задача формируется не стой стороны, по этому и логики не видно. В государстве, в котором отсутствует законность, отсутствует защита частной собственности (да, да, она как бы есть, но её нет), а те, кто законы принимает, оторваны от реальности и делают только то, что обогащает небольшую группу конкретных людей, вопрос нужно ставить так: qui prodest. И если на этот вопрос ответить честно, то всё встает на свои места. Правда картина мира при этом становится оооочень не приятная. По этому многие всеми силами отвергают правильный ответ и придумывают оправдания происходящего.
спасибо, я, как-нибудь, сам определю, какое мне нужно образование.
по остальной статье даж комментировать не хочется, мрак какой-то
да и не молодого не будет
Зря Вы так. Я тоже адепт дебиана, использую и на домашнем ПК в том числе. Но боооольшая часть всех серверов, именно на убунте. Это личный опыт, я сетевой инженер в облачном провайдере, т.е. вижу запросы клиентов. Хотя, так же могу сказать, что очень большое количество серверов всё еще на 20.04, 22.04 и, скорее всего, в ближайшую пятилетку не обновятся. А может быть и вообще никогда.
А это интересная мысль. Последние пару дней, как раз размышляю над тем, а что будет, если всё население страны, внезапно, возьмёт и не заплатит налоги. Месяца два.
Понятно, что есть куча "зашитых" налогов. Но тут суть в другом. В масштабах страны даже эти "открытые" налоги, это очень большие суммы. И как способ показать свою волю вполне себе. И да, это только теоретические рассуждения.
Не "могут", а "будут"
представим ситуацию. Два сферических кандидата в вакууме. Один только обещает, второй делает. Кто из них будет нравиться электорату? Да, для того, чтобы понять ху из ху требуется время и наблюдение. Но, никто ведь не говорит, что все изменится в лучшую сторону в мгновение ока. Так, что Ваш аргумент не очень и аргумент.
Да, вы правы, не боевые действия, а война. Война, которую развязал дед-геостратег, тем самым "обнулив" нормальное будущее нескольких молодых поколений.
Скорее всего мой коммент хабр потрет. Но те, кто прочитают, пусть знают, что правду говорить нужно. Причём говорить вслух.
Коллеги, это ж не пикабу. Хотя за бутылкой сходил, на всякий случай.
Фатальная ошибка
Именно
С добрым утром=)
Погодите, а разве в современной убунте не сокет за ссш отвечает? Там, вроде как, и так не процесс висит. Или я не правильно понял?