Re: nftables vs fail2ban
вт, 22 нояб. 2022 г. в 09:35, Victor Wagner <vitus@wagner.pp.ru>:
> > > интересно: это что, так сложно написать бот, который понимает, что
> > > у пользователя на хосте авторизация по ключу и исключить
> > > ip/username из своей базы по перебору паролей? Или ботоводы
> > > надеются, что через пару минут я внезапно сменю авторизацию по
> > > ключу на авторизацию по паролю?
> >
> > Со стороны клиента не видно, какая там авторизация по ssh.
> > Точно так же, как не видно, какие пользователи есть на сервере.
> >
>
> запустите ssh -v и увидите что клиенту видно, что нет.
Запустил.
Непосредственно перед приглашением ввести пароль после неудачных
попыток авторизоваться ключом:
debug1: Next authentication method: password
После ввода пароля:
debug1: Authentications that can continue: publickey,password
Доступ руту с паролем запрещён (PermitRootLogin without-password), но
это не видно со стороны клиента.
Точно такое же поведение - при попытке зайти несуществующим пользователем.
Вот именно под этим я и понимаю "не определить". То есть для
конкретного юзера, а не общесистемно.
Полностью перекрывать доступ по паролю представляется несколько
чрезмерным - исключить возможность утери устройства с ключом без
доступа к бекапу не могу.
--
Stanislav
Reply to: