rassylkaformazaj@ukr.net wrote:

Hello all,

вопросик. если я поставлю MaxStartups в значения вроде такого 5:50:20 не будет ли у меня проблем залогиниться на сервер в момент постоянных попыток перебора паролей?

Будут. Лучше настроить AllowUsers, сочинить _нормальный_ пароль (pwgen -cn 12 должен помочь :), вовремя латать уязвимости и жить спокойной жизнью. Пусть подбирают.

что то, я не очень понял ман.

Вроде там достаточно прозрачно всё описано... -- free-uanic =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander Peresunko wrote:

Igor Karpov wrote:

...

rassylkaformazaj@ukr.net wrote:

...

Hello all,

вопросик. если я поставлю MaxStartups в значения вроде такого 5:50:20 не будет ли у меня проблем залогиниться на сервер в момент постоянных попыток перебора паролей?

что то, я не очень понял ман.

А что, бывают прямо-таки постоянные? Я никогда такого не наблюдал.

"Не наблюдал" - не значит, что такого не бывает.

Потому и спросил.

...

Обычно это серии небольшой длительности.

Всё отностительно. 1 попытка в секунду на протяжении 2 часов - это много или мало? Как

IMHO, это вообще ничего. Наблюдал (там. где ssh не зафильтрован кроме как) серии из полусотни попыток подбора. Серия длится десятки секунд, делается с полсотни попыток подбора пароля, потом отваливается.

минимум задалбывает простыни логов получать от daily periodic.

Ну, daily periodic и помимо этого имеет способы задолбать. Regards, -- Igor Karpov xmpp://jc@minjust.gov.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

----- Original Message ----- From: "Alexander Peresunko" To: Sent: 9 августа 2005 г. 16:43 Subject: [uanog] Re: SSH MaxStartups

Конечно. Я и не претендую :)

Просто имелось в виду, что если выставить rate у MaxStartups, то можно поиметь проблемы с заходом на машину в это время. А это может быть критично.

Пускать sshd через inetd с ограничением количества коннектов с одного IP в минуту. типа (на FreeBSD): ssh stream tcp nowait/0/1 root /usr/sbin/sshd sshd -i Victor A. Prylipko victor@liniya.ru http://www.liniya.ru/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, Aug 09, 2005 at 03:12:35PM +0300, Alexander Peresunko wrote:

rassylkaformazaj@ukr.net wrote:

...

Hello all,

вопросик. если я поставлю MaxStartups в значения вроде такого 5:50:20 не будет ли у меня проблем залогиниться на сервер в момент постоянных попыток перебора паролей?

Будут. Лучше настроить AllowUsers, сочинить _нормальный_ пароль (pwgen -cn 12 должен помочь :), вовремя латать уязвимости и жить спокойной жизнью. Пусть подбирают.

И еще как вариант для себя любимого повесить sshd на нестандартном порту.

...

что то, я не очень понял ман.

Вроде там достаточно прозрачно всё описано...

-- free-uanic

-- NO37-RIPE

Hi!

...

Всё отностительно. 1 попытка в секунду на протяжении 2 часов - это много или мало? Как IMHO, это вообще ничего. Наблюдал (там. где ssh не зафильтрован кроме как) серии из полусотни попыток подбора. Серия длится десятки секунд, делается с полсотни попыток подбора пароля, потом отваливается. минимум задалбывает простыни логов получать от daily periodic.

А нету какого-нть готового решения, чтобы левых товарищей таки "пускать", но куда-то не туда, чтобы пароли не подбирали? Например, в псевдо-командную строку, где можно набирать, что угодно и получать в ответ надписи от psys'а. Правда, тоже могут съесть все connection'ы...

Ну, daily periodic и помимо этого имеет способы задолбать.

А нет варианта, чтобы он приходил, только если там что-нть полезное? :) Странно :( -- Michael Рядом с хоpошей опеpационной всегда должен быть моpг. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Aug 25, 2005 at 05:14:06PM +0200, Michael Petuschak wrote: MP> Hi! MP> >>Всё отностительно. MP> >>1 попытка в секунду на протяжении 2 часов - это много или мало? Как MP> > IMHO, это вообще ничего. Наблюдал (там. где ssh не зафильтрован кроме MP> > как) серии из полусотни попыток подбора. Серия длится десятки секунд, MP> > делается с полсотни попыток подбора пароля, потом отваливается. MP> >>минимум задалбывает простыни логов получать от daily periodic. MP> А нету какого-нть готового решения, чтобы левых товарищей таки "пускать", но MP> куда-то не туда, чтобы пароли не подбирали? MP> Например, в псевдо-командную строку, где можно набирать, что угодно и MP> получать в ответ надписи от psys'а. MP> Правда, тоже могут съесть все connection'ы... MP> > Ну, daily periodic и помимо этого имеет способы задолбать. MP> А нет варианта, чтобы он приходил, только если там что-нть полезное? :) MP> Странно :( ssh ограничить отпределенными адресами сделать 2-N точки(-точек) входа на "левом" порту я сделал на tcp/443 - его обычно все пропускают и в том числе через proxy/connect внутри точки входа - минимальный shell, умеет _только_ exec, больше ничего вообще и лежит 3 программы sshd, ssh и этот шел, причем sshd чисто рутовый, а на сем шеле рут зайти не может принципиально вот и можно выполнить (если зашел конечно) либо сам шел с ограничением на кол-во процессов на пользователя, либо ssh куда-то -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Успешно продается новая модель мыши для компьютера - с открывашкой для пива. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi!

...

...

...

Ну, daily periodic и помимо этого имеет способы задолбать. А нет варианта, чтобы он приходил, только если там что-нть полезное? :) Странно :(

Можно начать с *_show_success="NO".

А разве есть что-то кроме dir_show_success? Где смотреть?

Как оказалось, в defaults/periodic.conf daily_show_success="NO" # scripts returning 0 Интересно, конечно, в каких случаях эти скрипты ноль возвращают. Спасибо, Нетч. -- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Aug 25, 2005 at 05:14:06PM +0200, Michael Petuschak wrote: MP> MP> Hi! MP> MP> >>Всё отностительно. MP> >>1 попытка в секунду на протяжении 2 часов - это много или мало? Как MP> > IMHO, это вообще ничего. Наблюдал (там. где ssh не зафильтрован кроме MP> > как) серии из полусотни попыток подбора. Серия длится десятки секунд, MP> > делается с полсотни попыток подбора пароля, потом отваливается. MP> >>минимум задалбывает простыни логов получать от daily periodic. MP> MP> А нету какого-нть готового решения, чтобы левых товарищей таки "пускать", но MP> куда-то не туда, чтобы пароли не подбирали? MP> Например, в псевдо-командную строку, где можно набирать, что угодно и MP> получать в ответ надписи от psys'а. Если левых товарищей можно отделить по IP-адресам, можно попробовать tcp_wrappers с включенными language extensions (команда twist shell_command). Если "левизна" определяется количеством попыток входа, можно через тот же механизм запускать скрипт со счетчиками и по достижению порога заносить соотв. адреса уже в deny/psys список. -- ------------------------------------------------------- Dmitry Cherkasov ISP "Intercom" (380)44 251-12-88 http://www.intercom.net.ua DC1-UANIC CHD1-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message