ssh a neuspesne prihlaseni.

Karel Zak kzak na redhat.com
Úterý Září 20 22:29:40 CEST 2005


On Tue, 2005-09-20 at 15:04 +0200, Martin "Megac" Mokry wrote:
> 2005/9/20, bambas <bambas na swissinfo.org>:
> > Ano, to same me ted taky napadlo... :)
> > 
> > bambas
> > 
> > > Co třeba dát do iptables limit na počet navázaných spojení za minutu na portu
> > > SSH? -- Tím se nezbavíte úplně robotů ale minimalizujete jejich šance.
> Lepsie ako limit poctu spojeni za minutu by asi bolo pouzit PAM modul
> ktory robi rastuci delay vzhladom na pocet pokusov z dotycnej IP
> adresy.
> 
> Efekt je cca takyto - robot testovat accounty.
> Prva odpoved "login failed" pride okamzite. Druha s oneskorenim 1
> sekundy. Tretia s oneskorenim 2 sekund. Nasledne 4, 8, 16, 32 ...
> Takze uz pri siedmom pokuse bude test jedneho hesla trvat robotovi
> vyse minutu. Pre bezneho uzivatela ktory sa preklepne to je takmer
> nezbadatelne.
> 
> Neviem sice ako sa presne tento PAM modul vola, ale uz sa to tu
> spominalo, tak skuste pohladat.

pam_tally

	karel

-- 
Karel Zak <kzak na redhat.com>



Další informace o konferenci Linux