Vlákno názorů k článku Blokujte SSH útoky pomocí DenyHosts od anydot - Doporucuju fail2ban, taktez sleduje logy, a pri neuspesnych...

Doporucuju fail2ban, taktez sleduje logy, a pri neuspesnych pokusech se vola akce, typicky pridani docasneho drop pravidla do iptables – coz je imho lepsi, nez spojeni vubec akceptovat. Mimo to neni omezen jenom na ssh, ale na cokoliv, k cemu se da napsat regexp. S uspechem pouzivam na sasl (pop3&imap), apache, ftp …

no pockej, kdyz mas IP v hosts.deny, tak spojeni taky neni akceptovano…

Opravdu? Mel jsem pocit, ze je akceptovano a vzapeti zruseno. Netusim, jak by slo z userspace (ze socket rozhrani) speficikovat, ze kterych adres presne chci akceptovat spojeni a ze kterych ne.

no mozna jo, ale spojeni je stejne preruseno pred vyzvou User: ne?

Pokud pouzivate tcpwrappers, coz je knihovna, ktera hosts.deny obvykle pouziva, tak daemon (i kdyz je to treba jen inetd) nejdrive spojeni akceptuje a potom ho zrusi. Teda vyrazne vyssi naroky na systemove zdroje a vetsi sance k pruniku, nez kdyz je spojeni odmitnuto/zahozeno firewallem jeste pred sestavenim.

DenyHosts me prijde jako nahrada, pokud nemuzete/nechcete pouzivat firewall, treba proto, ze jste ve FreeBSD jailu, kde to neni mozne.

ad sila routru: „utocny den“ nie je myslim ta spravna miera lebo stare zaznamy sa mazu za ovela kratsiu dobu vacsinou v radoch desiatok minut a myslim ze radovo stovky zaznamov nie su problem ani pri hodne slabom routri (ja ich vzdy napocitam aktualne tak do 50 a to mazem po troch hodinach) …navyse jednoduche pravidlo/filter na IP adresy je vypoctovo pomerne nenarocna zalezitost......

inak by som sa rad opytal na skutocny rozdiel medzi F2B a DH?

zacal som s fail2ban lebo som akutne nieco take potreboval a toto bolo prve co som vygoglil a ked sa mi to zapacilo a chcel som to instalovat aj na ostatne stroje tak som zistil ze to napr nie je v gentoo stable … goglil som pre co a odpoved bola ze to netreba lebo je to to iste ako DH ktore tam uz je

DenyHost muze taky volitelne blokovat ALL v hosts.deny