Ez gyakorlatban ugy szokott kinezni, hogy a script kiddie-k addig fossak tele a logodat fassaggal, amig van hely a diszken. Fail2ban ezen a reszen tud segiteni.
Van jó pár nagyobb forgalom szerverem szerte a világban, de ezt én a gyakorlatban nem tapasztaltam, egy node-ra jellemzően óránként 20-60 ilyen kérés esik be.
Eddig négyféle jellemző támadást láttam:
1, SSH-n kipróbálnak 100-150 faék kombinációt. Nem fáj, nem jutnak be, nem okoz terhelést.
2, HTTP-n keresnek olyan szoftvereket, amelyeket jellemzően nem frissítenek a VPS-en, 404 megy vissza.
3, SMTP-n megpróbálnak open relay levelet feladni.
4, Nagy ritkán jön port scan, hogy milyen portok vannak nyitva.
Egyik se veszélyes, nem tudnak sehova jutni vele, nem én vagyok a célközönség, hanem olyan szerverek, ahol gyenge jelszót használnak, nem frissítenek időben és vannak nem túl jól karbantartott szolgáltatásaik. Semmivel se csökkentem a kockázatokat azzal, hogy feltolok egy fail2ban-t, csak növelem a rendszer komplexitását, adminisztrációs időt visz el és növekszik az üzemeltetési kockázat, mert időnként legális forgalmat blokkol.
Masik port arra jo, hogy a "tamadasok" 90%-at kiszurje: a legtobb szkript nem szarozik teljes portscan-nel. Beprobal 20-30 default portot aztan megy tovabb.
Ja, az ilyen "támadások" ellen "véd". Idézőjelben mind a két szó.