fail2ban este bun la detectarea modelelor proaste cunoscute care se întâmplă în mod repetat. Mai multe erori de autentificare ssh se potrivesc cu o expresie regex și sunt interzise.
fail2ban este prost la detectarea modelelor necunoscute și nu are un mecanism evident de declanșare bazat doar pe sincronizare. Semnalarea totul ca eșuat și sortarea lui în acțiuni (pe care ar trebui să le scrieți) pare oribil. Fals pozitive peste tot, cum rămâne cu oamenii care tind să facă clic la fiecare 15 secunde în mod natural. Prost pentru performanță, trimiterea tuturor solicitărilor prin închisori fail2ban. Iar utilizatorii care doresc să arate mai puțin ca un bot pot masca modele de sincronizare inuman de precise. wget --aleatoriu-așteaptă este disponibil într-un instrument de linie de comandă, de exemplu.
Așa că căutarea unui instrument continuă. Va trebui să faceți această selecție, noi nu facem recomandări pentru Server Fault. Posibil un sistem centralizat de logare este adecvat, pentru a analiza și stoca evenimente. Gândiți-vă la întrebările la care ar putea avea nevoie să răspundă, cum ar fi „listați mesajele care conțin unele IP în toată infrastructura noastră”. Destul de instrumente de logare fanteziste se numesc pe sine gestionarea informațiilor de securitate și a evenimentelor (SIEM). Chiar și cei mai chic cu fluxuri de lucru de automatizare au început să se numească orchestrare, automatizare și răspuns de securitate (SOAR). Acestea ar putea fi totuși mult prea multe și poate că doar fișierele de jurnal grep pe o bază ad-hoc, atunci când roboții par a fi rău.
Lista permisă IP de o singură cifră pare mică. Ați găsit deja un serviciu (CloudFlare) care în sine a depășit asta.Listele practice de permise nu vor deveni mai mici, cu spațiu IPv4 mereu fragmentat și adăugând servicii și aplicații.
