Ja to už ani nečítam ale z toho rýchleho pohľadu vidím, že sa držíte SSH ako kliešťa.

Tak to vidíte dost špatně.

to ich riešenie je tým pádom nepodlomiteľné

To tady nikdo netvrdí.

Ja som sa za svoju prax naučil nestavať celú bezpečnosť len na nastaveniach jedinej aplikácie.

To je fajn. Ale bezpečnost se nezvyšuje tím, že uděláte libovolné nesmyslné opatření, které vypadá dostatečně sofistikovaně a které znepříjemňuje život oprávněným uživatelům.

Preto ak vravíte, že máte super-bezpečné ssh a brute-force vám nevadia -- je to len Váš subjektívny postoj.

Problém je, že váš postup brute-force útoku nebrání. Takže já tvrdím, že mi brute-force útoky nevadí, protože jsem provedl opatření, která podle mého nejlepšího vědomí a svědomí mají brute-force útokům bránit. Mám povolené přihlašování jen klíčem, klíče jsou dostatečně dlouhé a udržuju je v tajnosti. Vy také tvrdíte, že vám brute-force útok nevadí, ve skutečnosti ale nemáte žádnou obranu proti distribuovanému útoku.

Takže Vaše zhadzovanie fail2ban ako neúčinného a neefektívneho nástroja je len Váš subjektívný názor prameniaci z nedostatku "prežitého".

Právě naopak. To, že vy si myslíte, že je ten nástroj k něčemu dobrý, pramení z nedostatku „prožitého“.

Keď sa rozhliadnete trošku aj po zahraničných fórach zistíte, že fail2ban je veľmi častým bezpečnostným prvkom u mnohých "správcov".

K tomu se nemusím rozhlížet po zahraničních fórech. U mnoha „správců“ je to velmi častým bezpečnostním prvkem, podobně jako přesouvání sshd na nestandardní port a zákaz vzdáleného přihlášení na roota. A dalším častým bezpečnostním prvkem těchto „správců“ je, že jimi spravovaný počítač už je součástí botnetu, tak si majitel botnetu pohlídá, aby na uzlu jeho sítě neřádil někdo jiný a třeba ho neprozradil. Já se ale „správcům“ snažím vyhýbat a raději spolupracuji se skutečnými správci.

predpokladá, že všetci sú dnes za NATom

Nepředpokládá. Ale skutečný správce počítá i s tím, že existují lidé, kteří jsou za NATem, a že jim nemůže jen tak odepřít službu.

za každým sa skrýva nejaký záškodník, ktorý VIE, že tam mám Fail2Ban

Opět, když řešíte bezpečnost, musíte počítat s tím, že někde ten záškodník existovat může. Jinak to, že používáte fail2ban, nemusí nikdo vědět, a taky se to dá snadno zjistit.

vie čo musí spraviť aby odpísal službu pre všetkých ostatných

To je právě ten problém. Vy se bráníte útočníkovi, který neví. Já se bráním útočníkovi, který ví – protože to je silnější soupeř, a protože úspěšná obrana proti němu automaticky funguje i proti tomu slabému útočníkovi.

Je dnes kopec služieb ktoré vyslovene trpia keď sú zahltené requestami o prihlásenie a daný správca tejto služby na to jednoducho musí nejak zareagovať.

Neřekl bych, že je těch služeb kopec. Ale i u těch, kde to skutečně je problém, musí správce reagovat tak, aby problém zmenšil a nevytvořil jiný. Opět, v tom je mezi námi rozdíl – vy se spokojíte s nějakou (prakticky libovolnou) reakcí, já chci, aby ta reakce byla smysluplná.

Mám sa vyhovárať na nejakého hajzlíka niekde za NATom a tvrdiť zvyšku internetu, že to kvôli nemu sú vo fronte na prihlásenie?

Já tvrdím, že je potřeba udělat takové opatření, aby v té frontě nečekal nikdo a všichni legitimní uživatelé se mohli přihlásit. Vy tvrdíte, že zas tak moc nevadí, když se nějaký legitimní uživatel nepřihlásí – hlavně když budou existovat někteří, kteří mají to štěstí, a přihlášení se jim někdy podaří.

Všetko čo robím - informujem o ďalšej možnosti.

Akorát jste u té možnosti bohužel zapomněl zmínit dost podstatné nevýhody. A to je to, o čem píšu od začátku. Pokud tomu někdo rozumí, uvědomuje si všechny souvislosti, a přesto se s plným vědomím rozhodne takové řešení nasadit, ať to klidně udělá, já ho budu respektovat – a když to své řešení někde popíše, uvidím to třeba z jiného úhlu pohledu a třeba usoudím, že takové řešení by bylo smysluplné i v mém případě. Třeba v této diskusi popsal své řešení Šangala, a z toho komentáře je evidentní, že ví co a proč dělá. Já mám na některé věci jiný názor, ale respektuju ho, a nebudu se s ním o to zbytečně přít. Ale vzhledem k tomu, co napsal v komentáři, nečekám, že by někomu bez znalosti situace radil „použij fail2ban, to nainstaluješ a rázem máš server zabezpečený“.

Fail2ban je velmi kontroverzní řešení a má spoustu vedlejších účinků, které můžou být velice snadno horší, než problém, kterému má bránit. Právě proto by bylo potřeba v textu, který má o fail2ban informovat začátečníky, o všech těch souvislostech informovat a podrobně je rozebrat. Aby se případně čtenář mohl pro nasazení fail2ban rozhodnout na základě skutečných informací, ne na základě toho, že o fail2ban vlastně nic neví. Jenže takový text by vydal na seriál, a musel by se zabývat i takovými věcmi, jako jak náročné je navázání SSH spojení před tím, než server rozpozná, že jde o neoprávněného uživatele a spojení ukončí. Jak náročné a spolehlivé je parsování logů, jaká je reakční doba takového řešení. Jak se takové řešení bude chovat, pokud je útočník za NATem, jak v případě, kdy má k dispozici malý botnet, jak v případě, kdy si vás vybere za cíl a nasměruje na vás velký botnet. Musel by řešit, jak funguje konfigurace iptables a jak pak jádro pravidla firewallu aplikuje. Musel by řešit, jak se bude takové řešení chovat, pokud je server v DMZ a před ním je nějaký lepší firewall, který např. sleduje spojení. A také by měl třeba obsahovat nějakou statistiku toho, jak se útočníci chovají.

no prave ze ostatni uz maji vsechno dulezite nastavene, a hraji si s opatrenim na konci

Jo. A všichni to tady úspěšně tají a velmi věrohodně se přetvařují, aby to vypadalo, že ani netuší, co je principem brute-force útoků.