script utok

[Petr Pisar]

Miroslav Kolombo napsal(a):
> Neni nejaky jednoduchy mechanismus, jak treba po 10tem chybnem prihlaseni
> zamezit na urcitou dobu pokusum o prihlaseni z dane IP?
> Ale ne za cenu, ze to bude obrovsky a komplikovany system ...

Je videt, ze toto tema vzdy rozviri flame nekolik dni ci tydnu trvajici. A 
nejen tady. Staci se podivat do comp.security.ssh, kde vzdy nekdo prijde s 
"genialnim" resenim a ostatni jej strhaji az na kost.

Otazka v obecne rovine zni, zda se "schovavat pred utocnikem a volit 
silnejsi hesla" (napr. portknocking, vyzadovat prihlasovani klicem, 
obskurni porty) nebo "rozpoznat utok a utocnika zablokovat".

Ja osobne zastavam nazor "silna hesla" a "detekce utoku". To prvni je 
nezbytny predpoklad dobreho zabepeceni, to druhe je vyborny zpusob, jak 
utok odhalit, zajistit jeho selhani (napr. zablokovani) a informovat o nem 
spravce zdrojove site (protoze casto je i on kompromitovan a pusobi obtize 
  i jinym ucastnikum site).

K detekci utoku je dobre pouzit univerzalni zpusob, ktery poslouzi i v 
jinych pripadech. V linuxu na autentizaci slouzi PAM. Proto je prirozene 
vyuzit vhodneho PAM modulu, jakym je starsi pam_tally, ktery pracuje per 
user nebo novejsi pam_abl, ktery pracuje per user OR per IP. (K tomu 
druhemu jsem uverejnil jednoduchy navod v cestine na 
[http://www.abclinuxu.cz/blog/pb/2005/6/6/89653]).

Jako protipriklad, ze ceske IP jsou bezpecne, mohu uvezt utok z pocatku 
srpna t.r., jehoz byl muj router cilem, ktery byl veden ze site 
superpocitacoveho centra CVUT. Tamejsi spravci byli velmi vstricni a vse se 
nakonec vysvetlilo.

--Petr