https://www.opennet.me/openforum/vsluhforumID3/133952.html В кодовую базу OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования подобных атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, позволяющий определить порог блокировки, срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. Новый механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61331<br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#116 Mon, 01 Jul 2024 14:26:48 GMT &gt; значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом с ключиком, я надеюсь?<br><br>Надежды юношей питают.<br><br>&gt; при твоем подходе - ни в чем, непонятно только, зачем тебе вообще пароли. Так удобно ключики от всего прямо без паролей сложить кучкой.<br><br>да как угодно. сравнивать утечку ключа нужно с утечкой пароля. но тебе оно понятное дел невыгодно - тогда внезапно выясняется что бьющиеся с подбором пароля боты это просто бьющиеся боты, а не свидетельство твоей предусмотрительности. <br><br>&gt; При моем - что подобрать мало-мальски отличающийся от 123 пароль к реальной <br>&gt; учетке практически нереально<br><br>Собственно подобрать ключ ещё сложнее<br><br>&gt; а к ключу - можно подобрать<br><br>Ещё раз: если утёк пароль - тебе сразу хана, подбирать ничего не надо.<br><br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#115 Sat, 15 Jun 2024 01:06:15 GMT А это не один и тот же персонаж? Я в них путаюсь.<br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#114 Fri, 14 Jun 2024 11:42:37 GMT &gt; На случайном порту или последовательности портов.<br>&gt; Но можно и на пакетном фильтре самому наваять.<br><br>https://www.opennet.ru/opennews/art.shtml?num=35968<br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#113 Thu, 13 Jun 2024 08:47:16 GMT На случайном порту или последовательности портов.<br>Но можно и на пакетном фильтре самому наваять.<br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#110 Tue, 11 Jun 2024 09:09:43 GMT пф, так и ссш никто не ломал, если она правильно закрыта за впн и вобще настроена.<br>а то что сломали - дак то неправильно было установлено.<br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#109 Mon, 10 Jun 2024 20:55:05 GMT так ведь - нету. Ну то есть либо фигня позволяющая добыть либо закрытый ключ либо эквивалент, либо нечто вообще неработающее.<br><br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#108 Mon, 10 Jun 2024 17:50:48 GMT &gt; это в какой вселенной? инфра на паролях это триллионы копий парольчиков в текстовичках,<br><br>значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом с ключиком, я надеюсь?<br><br>И да, если текстовичок утек - то тот чувак и ключик тоже с собой уволок. <br><br>&gt; Как и приватная часть ключа.<br><br>Как оказалось, это и необязательно.<br><br>&gt; В чём ты видишь разницу?<br><br>при твоем подходе - ни в чем, непонятно только, зачем тебе вообще пароли. Так удобно ключики от всего прямо без паролей сложить кучкой.<br><br>При моем - что подобрать мало-мальски отличающийся от 123 пароль к реальной учетке практически нереально, а к ключу - можно подобрать любой вменяемый (а невменяемый ты быстро зае...шься набирать да и запоминать, и он окажется рядом с ключом плейнтекстом), потому что число попыток в секунду ограничено только мощностями и время на подбор у тебя безграничное, потому что своевременный экспайр и ротация ключей - это из области, к сожалению, ненаучной фантастики.<br> https://www.opennet.me/openforum/vsluhforumID3/133952.html#107 Mon, 10 Jun 2024 17:08:09 GMT &gt; потому что "утечка пароля" - это из области очевидного-невероятного.<br><br>это в какой вселенной? инфра на паролях это триллионы копий парольчиков в текстовичках, в лучшем случае обфусцированных, не говоря уже о том что при целенаправленной атаке ты сам его введёшь.<br><br>&gt; А вот утечки закрытых ключей это регулярная реальность. <br><br>как и паролей.<br><br>&gt; Пароли или что-либо позволяющее внезапно-вычислить эти пароли - не лежат в общедоступной кучке на шитхабе<br><br>Как и приватная часть ключа.<br><br>&gt; И в .ssh не лежат. <br><br>ключи - внезапно! - там тоже не обязаны лежать. Более того, они как и пароли, совершенно не обязаны лежать на файлухе вообще.<br><br>&gt; А подбирать их - сложно и неэффективно, потому что логи<br><br>Абсолютно просто и дёшево. Именно поэтому на ssh порты долбятся непрерывно. Неэффективно - да, но какое отношение это имеет к безопасности - не понимаю напрочь. Ещё раз повторю вопрос.<br><br>Есть пароль, который если утёк - сразу компрометация. Есть ключ, который если утёк - компрометация с небольшой задержкой. И то и друг https://www.opennet.me/openforum/vsluhforumID3/133952.html#106 Mon, 10 Jun 2024 15:43:59 GMT &gt; срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. <br><br>У меня 250 человек долбятся на сервер, часто неудачно, .... вс&#235; издос весь NAT банить? <br><br>Может они бы лучше реализовали Port Knocking из коробки? <br>