Linux

[server801]

я пример написал. к тому же если стоит хороший пароль (символов 12-15) то в этом ничего страшного.

а смысл сего заключается в том,что когда идет перебор паролей -расходуется ваш траф.за ночь перебора -200,а то и 300 метров инета улетает.смысл сего поставит утилиту denyhosts,в настройках ставим три попытки и если они не подходят-IP отправляется в вечный бан.и больше никогда с того адреса не зайдут.тем более в настройках ssh запрещать root обязательно надо.

[DPX-Infinity]

сколько?о_О
посчитаем.
пусть оптимальная длина пароля для перебора l=7. UNIX-системы делают паузу в 2 секунды если пароль неправильный, что даёт n=30 попыток в минуту. это N=n*12*60=21600 попыток в 12 часов. пусть объём трафика за одну попытку будет c=(l+ST)=(l+50)=57 байт, где ST - сервисный трафик. в итоге получаем A=N*c=1231200байт=1200килобайт=1,17мегабайт за 12 часов. чтобы ушло 200 метров нужно K=200/1,17=171 компьютер. то есть тебе должно обрабатывать под двести компьютеров двенадцать часов подряд и одновременно чтобы набежало 200 мегабайт входящего трафика. мало того, у sshd есть понятие количества одновременных подключений (это MaxStartups и MaxSessions параметры). по умолчанию это 10 (что уже ограничивает мои предыдущие расчёты в несколько раз), но если его поменять на 1-2 (более чем достаточно для собственной работы), сокращаем количество трафика ещё в десятки раз.
в итоге получается что для того чтобы перегрузить канал данными проще слать кучу пингов или бегамайты данных на обычный сервер вроде хттпшного (я хз, но и здесь это вряд ли поможет). а если ещё учесть что у большинства серверов тарифы безлимитные (например наш фос, или какой-либо хостинг)..

[server801]

если учесть что бот перебирает пароли сразу с несколько адресов?я это говорю из своих наблюдений.очем спор то?о безопасности в первую очередь.sshd-сервис который взят из OpenBSD,но почему то по дефолту линуксоиды поленились запретить руту авторизацию.фришники же -смеются над этим и нервно топают ногами......

[Dimanok]

Лучше бы написали как запретить root по ссх )

[DPX-Infinity]

если учесть что бот перебирает пароли сразу с несколько адресов?я это говорю из своих наблюдений.очем спор то?о безопасности в первую очередь.sshd-сервис который взят из OpenBSD,но почему то по дефолту линуксоиды поленились запретить руту авторизацию.фришники же -смеются над этим и нервно топают ногами......

...чтобы ушло 200 метров нужно K=200/1,17=171 компьютер. то есть тебе должно обрабатывать под двести компьютеров двенадцать часов подряд и одновременно чтобы набежало 200 мегабайт входящего трафика...

с правильными настройками (частично я их привёл) с трафиком проблем не будет (да их и так не будет, какой идиот будет ставить сервер на помегабайтных тарифах?), с загруженностью канала - тоже, в силу настроек и собственно структуры протокола ssh. с длинным и запутанным паролем рута - не будет проблем и с безопасностью. ещё какие-то причины?

[DPX-Infinity]

Лучше бы написали как запретить root по ссх )

Код: Выделить всё • Развернуть

$ echo PermitRootLogin no | sudo tee -a /etc/ssh/sshd_config

если совсем уж паранойя замучила, можно в дополнение ко всему сделать логин только по открытому ключу помимо пароля.

[server801]

то есть хочешь сказать что рут в ssh -есть гуд?

[DPX-Infinity]

я ничего не хочу сказать. я просто не вижу причины его запрета. если кто-то очень сильно захочет, он получит доступ к машине в любом случае. если нет - длинного пароля на суперюзера даже с открытым доступом по ssh будет достаточно безопасно. может есть ещё что-то о чём я не подумал - прошу, поделись тогда)

[server801]

в том то и дело -если получит доступ по ssh обычный пользователь(не входящий в группу whell)ничего страшнного не произойдет,так как тут будет chroot.понимаете ход мысли?а тут под ударом стоит сам root

[DPX-Infinity]

на сервере обычно нет обычных пользователей не в группе администраторов. нафиг они нужны? ну разве что контент класть. тогда вообще говоря в худшем случае доступ даже неадмина будет означать конец сайту. и как я уже сказал пароли достаточной длины невзламываемы брутфорсом.
({a..z A..Z 0..9 , . ; ^ ! @ # $ % & * ( ) - _= - + \ | / ' " №} - мощность множества N = 26 + 26 + 10 + 24 = 86. если длина пароля K = 15, получим число размещений с неограниченными повторениями A^(N, K) = N^K = 86^15 = 104106241746467411129608011776, это больше 104 окталлионов!. такое количество паролей не перебрать за время существования Вселенной. так что если хочется быть уверенным в безопасности данных, 15-сивольного пароля будет достаточно для любого сервера. да даже и десятисимвольного, число переборов сокращается всего лишь на десять порядков (до квинтиллионов). ах да, я ещё и русские символы не посчитал)