ssh a neuspesne prihlaseni.

Martin "Megac" Mokry megacsk na gmail.com
Úterý Září 20 15:04:58 CEST 2005


2005/9/20, bambas <bambas na swissinfo.org>:
> Ano, to same me ted taky napadlo... :)
> 
> bambas
> 
> > Co třeba dát do iptables limit na počet navázaných spojení za minutu na portu
> > SSH? -- Tím se nezbavíte úplně robotů ale minimalizujete jejich šance.
Lepsie ako limit poctu spojeni za minutu by asi bolo pouzit PAM modul
ktory robi rastuci delay vzhladom na pocet pokusov z dotycnej IP
adresy.

Efekt je cca takyto - robot testovat accounty.
Prva odpoved "login failed" pride okamzite. Druha s oneskorenim 1
sekundy. Tretia s oneskorenim 2 sekund. Nasledne 4, 8, 16, 32 ...
Takze uz pri siedmom pokuse bude test jedneho hesla trvat robotovi
vyse minutu. Pre bezneho uzivatela ktory sa preklepne to je takmer
nezbadatelne.

Neviem sice ako sa presne tento PAM modul vola, ale uz sa to tu
spominalo, tak skuste pohladat.

May the Google Be With You

-- 
Martin "Megac" Mokry


Další informace o konferenci Linux