ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       27 Oct 2006  14:33:12
 To : Valentin Nechayev
 Subject : Re: окирование попыток подкючения ( SSH )
 -------------------------------------------------------------------------------- 
 

 27 окт 2006, пятница, в 10:02 KRAST, Valentin Nechayev написал(а):
 
  EG>> Кратенько:
  EG>> - запрет sshd слушать на доступных снаружи IP-адресах
  EG>> - статическая фильтрация - допуск только с разрешенных IP
  VN> Эти два пункта - по сути одно и то же.
 
 Выполняется на разных уровнях (firewall или application),
 поэтому разделил.
 
  EG>> - перевешивание sshd на другой порт
  VN> Угу.
  EG>> - встроенные средства конфига sshd
  VN> Вот тут как раз они совсем не помогают: подбор ведётся обычно не
  VN> более чем в 2 соединения впараллель.
 
 Hу это уже для полноты было упомянуто :-)
 
  EG>> - всяческие адаптивные анализаторы логов
  VN> Угу. Только хотелось бы 4-5 названий.
 
 Hу могу свой еще дать :-)
 Я его для httpd и ftpd использую, с тем же успехом можно для sshd
 применять. Если в течение n секунд более m неуспешных авторизаций,
 пожалуйте на k секунд в ipfw table (предполагается, что в файрволе
 что-то типа ipfw reset from 'table(1)' или ipfw deny), впрочем
 конкретный action легко поменять. Hа перле.
 
  EG>> - одноразовые пароли
  VN> Для рута?;))
 
 Hу перебирают не только рута. Перебор рутового пароля может
 логи забивать и не более :-)
 
  EG>> - запрет паролей и авторизация только по ключам
  VN> Угу.
  EG>> - забивание болта
  VN> Hе считается.
 
 Hу замени на "использование стойких паролей", в общем под забиванием
 болта именно это предполагалось :-)
 
 Eugene
 -- 
 Дьявол в мелочах
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор