sshd - jak ograniczyćdopuszczalną licz bęprób zalogowania?

Andrzej 'The Undefined' Dopierała undefine w aramin.net
Sob, 31 Maj 2008, 16:15:43 CEST


On Sat, May 31, 2008 at 10:10:49AM +0200, Mieszko Kaczmarczyk wrote:
> > >> W jaki sposób najłatwiej odciąć dostęp do maszyny hostowi, który
> > >> próbuje usilnie wleźć na ssh?
> > >
> > >iptables -I INPUT -s <ip maszyny> -j DROP
> >
> > to jest zabijanie firewall-a. lepiej do jednej reguly input/drop
> > podpiac ipset typu iptree i modyfikowac tylko ipset.
> 
> 
> Dlaczego twierdzisz, że to jest zabijanie firewall'a?
jak dostaniesz ddos-a na ssh(co się zdarza ;) - dla każdego
"atakującego" ip dojdzie regułka.
Jak ddos będzie np z 10000 ip, to wtedy efektem bedzie 10000 wpisow w
firewallu
i _każdy_ pakiet który dojdzie będzie musiał przez te 10k regułek
przejść - co obciąży maszynę już nie forkującym ssh, ale samym
firewallem ;)

-- 
Andrzej 'The Undefined' Dopierała
Linux && Unix && Network administrator
PLD Linux Developer      HomePage: http://andrzej.dopierala.name/
JID: undefine w piastlan.net         e-mail: andrzej w dopierala.name


Więcej informacji o liście dyskusyjnej pld-users-pl