Re: [Nem értem] sshd_config: MaxStartups
Bajan Ferenc
bferi at calypso.tbsz.sulinet.hu
2010. Jún. 22., K, 08:59:19 CEST
Helló!
On Mon, 21 Jun 2010, Veres Sándor wrote:
> Kérlek magyarázzátok el nekem pontosan hogyan is működik Linuxon az sshd
> démon MaxStartups opciója.
> Addig értem, hogy az ugyanazon IP-ről ugyanazon loginnal történő sikertelen
> próbálkozások maximális számát adhatjuk meg.
> De a man-ban szereplő "start:rate:full" hármasból a "rate"-ra és a "full"-ra
> vonatkozó magyarázatot nem teljesen értem.
>
> A man-ban az alábbi magyarázat szerepel a MaxStartups opciónál:
> "
> Specifies the maximum number of concurrent unauthenticated connections to the
> SSH daemon.
> Additional connections will be dropped until authentication succeeds or the
> LoginGraceTime expires for a connection.
> The default is 10.
Tehát ha egy értéket adsz meg (alapértelmezett a 10), az sshd számolja a
sikertelen próbálkozásokat, s ha a szám eléri az itt megadottat, a
továbbiakat elutasítja, mindaddig, amíg sikeresen nem authentikál, vagy le
nem jár a LoginGraceTime a kapcsolatra.
> Alternatively, random early drop can be enabled by specifying the three colon
> separated values "start:rate:full" (e.g. "10:30:60").
> sshd(8) will refuse connection attempts with a probability of “rate/100”
> (30%) if there are currently “start” (10) unauthenticated connections.
> The probability increases linearly and all connection attempts are refused if
> the number of unauthenticated connections reaches “full” (60)."
Ha három számot adsz meg, az első megfelel az előző egynek. A középső egy
valószínűségi érték, amely jelzi: ha a nem hitelesített csatlakozások
száma meghaladja a start értéket, milyen valószínűséggel utasítja el a
csatlakozást, mindaddig, amíg a próbálkozás nem sikerül, vagy a számuk el
nem éri a harmadik számot. Az itt megadott példában 10 sikertelenség után
30 % a valószínűsége, hogy timeoutot kapsz újabb lehetőség helyett, és ez
további sikertelenség után lineárisan nő, amíg a hibák száma el nem éri a
60-at.
IMHO 60 próbálkozás rengeteg, én nem adok ennyit. Egy rossz tapasztalat
után nem vacakolok jelszavakkal, vagy van a távoli gépnek publikus kulcsa
a szerveren, vagy menjen a fenébe mindjárt elsőre, ha akkor nincs neki,
másodszorra-tizedszerre se lesz.
Ennek csak akkor látom értelmét, ha a belső hálóról a diákoknak akarsz
shell-kapcsolatot engedélyezni, azok nehezen jegyzik meg a jelszavakat...
Kívülről veszélyes, legfeljebb ha sftp-t adsz a usereknek.
--
-----Linux is like wigwam: no windows, no gates, apache inside!-----
Bajan Ferenc
További információk a(z) Techinfo levelezőlistáról