我想永久拒绝防火墙中IP地址的ssh登录,用户从防火墙中在GCP实例中尝试SSH超过3次。
此外,被阻止的ip地址详细信息也应作为电子邮件发送给admin用户。通过GCP可以做到吗?
答案 0 :(得分:0)
可以使用ingress规则对特定的协议和端口执行deny操作,甚至可以更好地选择“拒绝所有端口”选项来阻止来自有害外部IP地址的传入流量;但是,有问题的用户尝试访问VM实例超过3次并失败后,访问不会被拒绝,否则它将自动阻止IP并向管理员用户发送电子邮件。因此,这对于GCP防火墙是不可能的。
但是,可能值得检查入侵防御软件,例如“ FAIL2BAN等”。
Fail2ban扫描日志文件(例如/ var / log / apache / error_log),并禁止显示恶意迹象的IP(过多的密码错误,寻找漏洞利用等)。通常,Fail2Ban然后用于将防火墙规则更新为尽管可以配置任何其他任意操作(例如,发送电子邮件),但在指定的时间内拒绝IP地址。开箱即用,Fail2Ban带有针对各种服务(apache,courier,ssh等)的过滤器。
Fail2Ban能够减少不正确的身份验证尝试的发生率,但是它不能消除存在弱身份验证的风险。如果您确实想保护服务,则将服务配置为仅使用两种因素或公共/专用身份验证机制。