[Comm] всё время ломятся в ssh

[Sergey Viuchny]

так сказать мысли вслух.

в pf из OpenBSD можно делать примерно так:

пишется правило в pf  что-то типа
pass in log on $ext_if inet proto tcp from any to $ext_if port 22 \
 flags S/SA keep state \
     (max-src-conn-rate 4/40, overload <BLACKLIST> flush)

значит это следующее: при превышении лимита, равного 4 попыткам установить 
соединение на порт 22 в течении 40 секунд, IP заносится в таблицу BLACKLIST
далее IP из таблицы блокируются другим правилом 

думаю, подобное можно сделать и средствами iptables,
с помощью модуля limit , например

PS
а вообще, ИМХО, смена порта и PasswordAuthentication no снимают вопрос 


В сообщении от Воскресенье 25 Сентябрь 2005 00:38 Vitaly Lipatov написал(a):
> On Saturday 24 September 2005 23:24, Vitaly Lipatov wrote:
> > Подскажите, что сделать, чтобы некие автоматы-хакеты
> > не пытались непрерывно залогиниться по ssh? Может быть можно
> > portsentry заставить отрабатывать эту ситуацию, занося
> > в /etc/host.deny адрес взломщика?
>
> Собственно именно это обсуждали в теме "Попытка взлома", но
> а) это ведь ломится автомат, а не человек
> б) руками отключать каждого - руки отвалятся
> в) как бы автоматизировать отключение таких маших?