Tomáš Drgoň wrote on 17. 1. 2019 11:13:
co pouzivate na blokovanie utokov na SSH ?
Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl protoze se nenasel maintainer. Ale je stale funkcni.
V pripade zajmu muzu poskytnout, vcetne puvodniho "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako se standardnim FreeBSD portem.
Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri prihlasovani pouziva PAM framework.
Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus o autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne prisnejsi, tak benevolentnejsi
Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a chce mit klid a dostatek casu an jeho hledani, proto to vetsinou zkousi tak aby sever nepretizil a tim na sebe neupozorni.
Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se informace o neuspesnych pokusech o prihlaseni daly ukladat z vice chranenych serveru do jedne databaze a tak by pokusy o utocnika na jednom serveru vedly k zablokovani dane IP na vsech, ale je to v TODO listu opravdu hodne hluboko a tak, prestoze je to uprava spis jednouducha to na brzkou implementaci moc nevypada ...
Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
