08.07.2011 12:22, sergio пишет: > On 07/08/2011 06:30 AM, Mikhail A Antonov wrote: > >> 3 коннекта за минуту. Тебе надо больше? > Очень плохо понимаю тех, кому надо меньше. Я вообще себя не ограничиваю, могу > хоть с десяток открыть. А если добавить scp и конструкции типа > ssh host command... > 3 новых коннекта в минуту для одного IP-адреса. Это не ВСЕГО 3 для всех и не 3 для уже установленных. Это правило блокирует на 60 секунд те хосты, с которых пришло 3 SYN пакета за 60 секунд. Если до истечения "бана" в 60 секунд прилетит ещё один SYN - 60 секунд "бана" начинают отсчитываться с нуля. Если не нравится - ну открой свои известные IP выше этих правил и всё будет хорошо. Всяко лучше так, чем вообще закрывать ssh на внешний мир. Теперь немного о других решениях: fail2ban у меня за полгода трижды съел гиг памяти и повис. Помог только kill -9 Менять порты не удобно - есть кривой софт который бывает не знает ни про то, что порт может быть другой, ни про ~/.ssh/config Закрывать ssh на весь мир? Это не удобно. -- Best regards, Mikhail.
Attachment:
signature.asc
Description: OpenPGP digital signature