Re: [Nem értem] sshd_config: MaxStartups

Bajan Ferenc bferi at calypso.tbsz.sulinet.hu
2010. Jún. 22., K, 08:59:19 CEST


Helló!

On Mon, 21 Jun 2010, Veres Sándor wrote:

> Kérlek magyarázzátok el nekem pontosan hogyan is működik Linuxon az sshd 
> démon MaxStartups opciója.
> Addig értem, hogy az ugyanazon IP-ről ugyanazon loginnal történő sikertelen 
> próbálkozások maximális számát adhatjuk meg.
> De a man-ban szereplő "start:rate:full" hármasból a "rate"-ra és a "full"-ra 
> vonatkozó magyarázatot nem teljesen értem.
>
> A man-ban az alábbi magyarázat szerepel a MaxStartups opciónál:
> "
> Specifies the maximum number of concurrent unauthenticated connections to the 
> SSH daemon.
> Additional connections will be dropped until authentication succeeds or the 
> LoginGraceTime expires for a connection.
> The default is 10.

Tehát ha egy értéket adsz meg (alapértelmezett a 10), az sshd számolja a 
sikertelen próbálkozásokat, s ha a szám eléri az itt megadottat, a 
továbbiakat elutasítja, mindaddig, amíg sikeresen nem authentikál, vagy le 
nem jár a LoginGraceTime a kapcsolatra.

> Alternatively, random early drop can be enabled by specifying the three colon 
> separated values "start:rate:full" (e.g. "10:30:60").
> sshd(8) will refuse connection attempts with a probability of “rate/100” 
> (30%) if there are currently “start” (10) unauthenticated connections.
> The probability increases linearly and all connection attempts are refused if 
> the number of unauthenticated connections reaches “full” (60)."
Ha három számot adsz meg, az első megfelel az előző egynek. A középső egy 
valószínűségi érték, amely jelzi: ha a nem hitelesített csatlakozások 
száma meghaladja a start értéket, milyen valószínűséggel utasítja el a 
csatlakozást, mindaddig, amíg a próbálkozás nem sikerül, vagy a számuk el 
nem éri a harmadik számot. Az itt megadott példában 10 sikertelenség után 
30 % a valószínűsége, hogy timeoutot kapsz újabb lehetőség helyett, és ez 
további sikertelenség után lineárisan nő, amíg a hibák száma el nem éri a 
60-at.
IMHO 60 próbálkozás rengeteg, én nem adok ennyit. Egy rossz tapasztalat 
után nem vacakolok jelszavakkal, vagy van a távoli gépnek publikus kulcsa 
a szerveren, vagy menjen a fenébe mindjárt elsőre, ha akkor nincs neki, 
másodszorra-tizedszerre se lesz.
Ennek csak akkor látom értelmét, ha a belső hálóról a diákoknak akarsz 
shell-kapcsolatot engedélyezni, azok nehezen jegyzik meg a jelszavakat... 
Kívülről veszélyes, legfeljebb ha sftp-t adsz a usereknek.

--
-----Linux is like wigwam: no windows, no gates, apache inside!-----
                                                         Bajan Ferenc


További információk a(z) Techinfo levelezőlistáról