08.07.2011 11:31, Stanislav Maslovski пишет: > On Fri, Jul 08, 2011 at 10:54:57AM +0400, Mikhail A Antonov wrote: >> 08.07.2011 10:30, Stanislav Maslovski пишет: >>> On Fri, Jul 08, 2011 at 06:30:52AM +0400, Mikhail A Antonov wrote: >>>> 08.07.2011 06:13, sergio пишет: >>>>> On 07/08/2011 05:52 AM, Mikhail A Antonov wrote: >>>>> >>>>>> iptables -A INPUT -p TCP --syn --dport 22 -m recent --name >>>>>> ssh_rate_limit --set >>>>>> iptables -A INPUT -p TCP --syn --dport 22 -m recent --name >>>>>> ssh_rate_limit --update --seconds 60 --hitcount 3 -j DROP >>>>> >>>>> Те есть несколько раз подряд, даже удачно, я залогиниться не смогу? >>>>> >>>> 3 коннекта за минуту. Тебе надо больше? Ну сделай 5. >>>> Я ни разу не попадал в это своё ограничение за 2 (или даже 3) года. >>> >>> Это плохой метод: хост элементарно ДДОСится. Нужно либо лимитировать >>> доступ выборочно, как это делает fail2ban, либо иметь как минимум одно >>> запасное правило с нелимитированным доступом с известного IP. >>> >> 3 коннекта в минуту с одного хоста а не вообще. Т.е. за 3 коннекта в >> минуту бан отхватит тот, что эти коннекты совершал, а не весь мир. > > Это нынче не играет, так как у заинтересованных лиц в сети любого > крупного провайдера есть свои боты. Исходящий IP подделывается и > вперед. > Всемирный заговор!!! Речь изначально шла о тупых ботах, которые тупо сканят сеть и потом перебирают пароли везде, где нашли 22 порт открытым и нашли на нём ssh. -- Best regards, Mikhail.
Attachment:
signature.asc
Description: OpenPGP digital signature