|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Igor Nikolaev 2:5030/266 02 Jun 2006 21:33:03
To : "Anton Yuzhaninov"
Subject : Re: Подбор логина/пароля по ssh
--------------------------------------------------------------------------------
Anton Yuzhaninov <citrin@icn.bmstu.ru> wrote:
> /usr/ports/security/sshit/
Я не поленился (люблю таки перл) и помякал сей шшит .
Это не средство обеспечения безопасности, это чудище
недоделанное... Hеверующие могут поставить perl -w и
use strict. Затем запустить скрипт из под обычного
пользователя, посмотреть на полсотни вывалившихся
ошибок и призадуматься.
Для начала чистим разборку конфигов:
chomp (my %C = map { /^(\w+)\s*=\s*(.*)$/ ? ($1,$2) : () } <FILE> );
ибо потом некоторые параметры улетают напрямую в system.
А ещё лучше просто выкинуть конфигурационный файл нафиг.
Hе маленькие. Всё равно HUP'ов не ловим.
Далее нужно прописать /sbin/ipfw (или /sbin/pfctl) *явно*.
Выкинув всё остальное. Hе то место, чтобы разконфиживаться.
Особенно мило видеть возможность задать конфиг как параметр.
Затем все system LIST преобразовать в system $ipfw, LIST.
Ибо нефиг.
После доопределения переменных шшит можно более-менее
спокойно запускать. Hо не нужно. Потому как в нём есть
идеологическая бага: информация о прибитых клиентах
храниться во внутреннем хеше %list. Если fork'нутый шшит
по какой-то причине слетит, то заfirewallенные клиенты
так и останутся загашенными. Бывает такое при неустойчивой
работе, когда системный администратор пытается дистанционно
войти. И не может, потому как timeout'ы, что-то с
пользователями случилось или ещё чего.
Слететь шшит может каждую секунду ибо внутри sleep 1 и затем
давай по новой крутиться. При этом %list храниться в
расшаренной области памяти. Так можно делать "для не очень
ответственных приложений". Hо чем дело кончится при массовой
атаке сказать затруднительно (мягкая формулировка).
Как же быть если уж очень хочется? Да очень просто: в ipfw
начиная с 5 версии есть поле комментария. В нём и нужно
хранить gmtime первой попытки (counter ipfw хранит сама :)
Чистить cron'ом (если на машине слетел cron, то наверное
и вправду пора вешаться, то есть перегружаться).
А ещё лучше на редкообслуживаемых машинах просто настроить
sshd на тему AllowHosts и AllowUsers. И запретить Password
и PAM вообще. Ибо нефиг. Только authorized_keys. После чего
не заниматься ерундой больше. log'и нужны не для борьбы
за правое дело, а для выяснения чего происходит и разбора
полётов по результатам посадок.
Если конкретно, то
/etc/ssh/sshd_config
PasswordAuthentication no
ChallengeResponseAuthentication no
Оценка - достаточно.
--
И
--- ifmail v.2.12.os.sensi
* Origin: Как корабль назовёте. (2:5030/266@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
