Maksim Dmitrichenko <dmitr...@gmail.com> wrote: > [-- text/plain, encoding base64, charset: UTF-8, 25 lines --]
> пн, 21 нояб. 2022 г. в 18:53, Stanislav Vlasov <stanislav....@gmail.com>: > > Блокировка через nftables отлично заблокирует вполне легитимный > > параллельный запуск чего-нибудь из скриптов. Это больше ограничение по > > флуду и неприменимо, если есть вариант, что потребуется запускать > > что-то типа for i in ...; do ssh $host "$command $i"; done > > > Вроде бы не мой случай. Но это какое-то зло в любом случае, если там может > быть один хост в нескольких командах. Он резко может стать твоим, если ты быстро зашел-вышел на хост несколько раз. Но для этого, можно свои сеточки отдельно пускать, мимо резалки. Только этот метод другую проблему не решает - медленный подбор паролей, когда в рамках одного соединения (ещё и с задержкой) подбираются пароли до лимита. А следующее соединение с этого адреса будет через 5 минут - ботнет большой, адресов много. > > fail2ban же проанализирует логи и забанит только тех, кто пытается > > подобрать пароль. > То есть fail2ban занимается парсингом логов и зависит от того, чтобы тот > или иной сервис не дай бог не изменил формат логов? Какое-то весьма себе sshguard занимается тем-же. Да и любой блокировщие будет заниматься парсингом логов. > костыльное решение, которое ко всему прочему обязывает вести локальный, а > не remote, лог. ты что, это fail2ban... там модулей на любой чих понаписанно. Можно поставить на сервер с логами, а рулить фарволом в совершенно другом месте. Можно поставить mysql и сделать через это "централизованную базу" блокировок. А так, для своих задач демон пишется на perl за 2 часа с перерывами на кофе.
