Dočasné zablokování po neúspěšné autorizaci

[Miroslav BENES]

Petr Barta napsal(a):

>> Jako jeden z poštovních serverů používáme sendmail nakonfigurovaný 
>> tak, aby se odesilatel musel autorizovat a komunikace probíhala 
>> šifrovaně. Všechno funguje jak má.
>>
>> Objevil se tu ovšem ještě jeden požadavek - aby byl dočasně 
>> zablokován účet, u kterého se opakovaně nezdaří autorizace. Tj. aby 
>> se zabránilo opakovaným pokusům o uhádnutí hesla.
>
>
> Pekny den,
>     podobny problem jsem resil nedavno v konferenci linux na linux.cz, i 
> kdyz se tykala potizi ne s postou, ale s pristupem k ssh. Presto by 
> asi mohla byt pro Vas zajimava:
> Nakonec jsem pouzil reseni pana Macka (uvedene uplne na konci), ale 
> myslim, ze pro Vas by bylo vhodne treba reseni s programem fail2ban - 
> po prislusnem nadefinovani filtru...


Ale jestli dobře chápu, na fail2ban to je potřeba jiný syslog démon (aby 
potřebné hlášky sypal ven).
Řešení p. Macka je sice elegantní, ale omezuje pouze množsví připojení 
bez ohledu na (ne)úspěšnost. To má jistě smysl u služeb jako je ssh, ale 
pokud budu uvažovat obecně i o jiných službách, asi by se daly stanovit 
mantinely pro odesílání pošty (smtp), ale nedokážu si představit čtení 
pošty (imap), při kterém se klient odhlásí a přihlási např. i při každém 
přechodu do jiné složky...

Mě osobně se nejvíc líbí pam_abl. Zkoušel jsem ho na své stanici s FC3 
(cvičně na omezování ssh) a fungoval dobře. Ale nasazení na server (RH9) 
se mi nepodařilo. Modul se sice bez chyb zkompiluje, ale když ho 
aktivovuji, přestanou se navazovat jakákoliv spojení (i se správným 
heslem). Škoda, vypadao to moc pěkně.

Děkuji všem zúčastněným za tipy !