ssh – 保护linux服务器：iptables vs fail2ban

有一些类似的问题,但没有一个问题让我满意.总之,我试图确定最好的解决方案,以保护暴露于互联网(运行常规服务,ssh,web,邮件)的Linux服务器免受暴力攻击.

我对服务器安全性有一个很好的处理,即通过不允许root或密码登录来锁定ssh,更改默认端口,确保软件是最新的,检查日志文件,仅允许某些主机访问服务器并利用安全性Lynis(https://cisofy.com/lynis/)等审计工具,对于一般安全合规性,所以这个问题不一定与此有关,尽管总是欢迎输入和建议.

我的问题是我应该使用哪种解决方案(fail2ban或iptables),我应该如何配置它,还是应该使用两者的组合来抵御暴力攻击？

关于该主题有一个有趣的回应(Denyhosts vs fail2ban vs iptables- best way to prevent brute force logons?).对我个人而言最有趣的答案是(https://serverfault.com/a/128964),并且iptables路由发生在内核中而不是fail2ban,它使用用户模式工具来解析日志文件. Fail2ban当然使用iptables,但它仍然必须解析日志文件并匹配模式,直到它执行一个动作.

那么使用iptables并使用速率限制(https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/)在一段时间内丢弃来自IP的请求是否有意义,这段时间会在特定时间内进行太多连接尝试,而不管它尝试连接的协议是什么？如果是这样,那么有一些有趣的想法在这里使用drop vs reject这些数据包(http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject),有什么想法吗？

Fail2ban允许以能够为默认配置中可能未解决的服务编写自定义“规则”的形式进行自定义配置.它易于安装和设置,并且功能强大,但是如果我想要实现的是从服务器“阻止”IP,如果他们对任何服务/协议进行2次失败的访问尝试,那么它可能是一种过度杀伤力.时间？

这里的目标是打开每日logwatch报告,而不必滚动尝试连接到服务器的失败页面.

感谢您抽出宝贵的时间.