fail2banは今でも必要か—SSH防御の現代的な優先順位
fail2banはSSH総当たり対策の定番だが、鍵認証必須化やポート非公開が先にあるべき対策である。防御手段の優先順位を整理する。
先にやるべき根本対策
PasswordAuthentication noにすれば総当たりは原理的に成立しない。総当たりログが気になる段階ではまずパスワード認証の無効化を確認する。
fail2banが有効な場面
パスワード認証をやむなく残す場合や、ログノイズ削減、SSH以外のサービス防御には依然有効。recidiveジェイルで再犯IPの長期banも組める。
公開自体をやめる選択
VPNやトンネル経由のみのSSHにすれば攻撃面そのものが消える。fail2banはその構成では不要になる。