ssh a neuspesne prihlaseni.
Karel Zak
kzak na redhat.com
Úterý Září 20 22:29:40 CEST 2005
On Tue, 2005-09-20 at 15:04 +0200, Martin "Megac" Mokry wrote:
> 2005/9/20, bambas <bambas na swissinfo.org>:
> > Ano, to same me ted taky napadlo... :)
> >
> > bambas
> >
> > > Co třeba dát do iptables limit na počet navázaných spojení za minutu na portu
> > > SSH? -- Tím se nezbavíte úplně robotů ale minimalizujete jejich šance.
> Lepsie ako limit poctu spojeni za minutu by asi bolo pouzit PAM modul
> ktory robi rastuci delay vzhladom na pocet pokusov z dotycnej IP
> adresy.
>
> Efekt je cca takyto - robot testovat accounty.
> Prva odpoved "login failed" pride okamzite. Druha s oneskorenim 1
> sekundy. Tretia s oneskorenim 2 sekund. Nasledne 4, 8, 16, 32 ...
> Takze uz pri siedmom pokuse bude test jedneho hesla trvat robotovi
> vyse minutu. Pre bezneho uzivatela ktory sa preklepne to je takmer
> nezbadatelne.
>
> Neviem sice ako sa presne tento PAM modul vola, ale uz sa to tu
> spominalo, tak skuste pohladat.
pam_tally
karel
--
Karel Zak <kzak na redhat.com>
Další informace o konferenci Linux