fail2banは今でも必要か—SSH防御の現代的な優先順位

fail2banはSSH総当たり対策の定番だが、鍵認証必須化やポート非公開が先にあるべき対策である。防御手段の優先順位を整理する。

先にやるべき根本対策

PasswordAuthentication noにすれば総当たりは原理的に成立しない。総当たりログが気になる段階ではまずパスワード認証の無効化を確認する。

fail2banが有効な場面

パスワード認証をやむなく残す場合や、ログノイズ削減、SSH以外のサービス防御には依然有効。recidiveジェイルで再犯IPの長期banも組める。

公開自体をやめる選択

VPNやトンネル経由のみのSSHにすれば攻撃面そのものが消える。fail2banはその構成では不要になる。