在没有fail2ban或CSF的Debian系统中，如何防止布鲁特力攻击？

Question

在没有fail2ban或CSF的Debian系统中，如何防止布鲁特力攻击？

我所知道的最近和最快的方法是ConfigServer的CSF-LFD，但它不在存储库中，如果我要使用一个实用程序，我最喜欢的是存储库中的一些东西(因为许可/法律原因，我似乎无法为此创建Debian/Ubuntu存储库)。

与CSF相比，另一种解决方案是Fail2ban，但在我看来，Fail2ban配置需要坚定的IPS软件体系结构知识，以及对Perl兼容regex ( PCRE )的深入知识，这是我目前所缺乏的(我有一些基本的Fail2ban知识，但没有我认为Fail2ban需要的那么深)。在我看来，这不像CSF那样直接。

因此，我想知道是否有一种“更平滑”的方法，可能是通过IP表手动安装，或者通过一些实用程序，我可以直接从Debian/Ubuntu存储库安装，这可以防止BFA使用SSH密钥的问题。

Answer 1

我也不太喜欢Fail2ban的复杂性，所以我研究了替代方案，找到了舍护神，它可以在没有任何配置修改的情况下工作。

与其名称相反的是，Sshguard可以处理的不仅仅是SSH野蛮的攻击；它对于流行的电子邮件和FTP包来说是标准的几种滤波器。

但是，就像mc0e所说的，Fail2ban实际上并不需要那么多的设置，更强大，支持更多的守护进程，我认为它在默认情况下附带了一些SSH规则，所以您实际上不需要配置任何东西。

我也倾向于使用蕨类植物作为建立iptable规则的更友好(更强大)的预处理工具，但这与自动防止蛮力攻击并没有真正的直接关系。

Answer 2

Fail2ban是一个很好的工具，特别是用于ssh登录，并且非常容易为此设置。我建议你用它。您不需要学习很多PCRE，因为默认情况下，您需要的ssh配置就在那里。

不过，不要回避学习regex。无论你在那里付出多少努力，在未来的许多年里，你都会得到丰厚的回报。

您需要一个高级工具来指定防火墙规则。我用ferm。还有很多其他的选择。除了端口阻塞外，防火墙规则还可以对限制连接进行分级，这对于防止暴力攻击非常有用。