Integrace Fail2Ban přímo do OpenSSH

[CPU]

Neměl by SSH server už podporovat Fail2Ban nativně? Nemělo se to integrovat přímo dovnitř? Nechtěli to tam přidat by default?

Nějak nevidím vhodné parametry.

[Reklama]

[jjrsk]

Jako ze by to DOSovalo samo sebe? Bezva napad!

[Petr Krčmář]

Vývojáři to mají skutečně připravené a mělo by to být součástí příštího vydání OpenSSH 7.6. Hlavní volby jsou PerSourcePenalties a PerSourcePenaltyExemptList.

[CPU]

Aha, ok, tak to se mi předchází hodinky 

@Petr Krčmář: Díky!

[Ondřej Caletka]

Vývojáři to mají skutečně připravené a mělo by to být součástí příštího vydání OpenSSH 7.6. Hlavní volby jsou PerSourcePenalties a PerSourcePenaltyExemptList.

Aktuální vydání má číslo 9.8 a tuhle funkci už obsahuje.

[Reklama]

[Rhinox]

Kdyz blokovat zavadnej traffic, tak co nedrive. Proc by to melo prechazet celym sitovym stackem, kdyz se to da odfiltrovat jiz na urovni firewallu? Nez zbytecne navazovat spojeni se sshd-serverem (kterej to pak zablokuje) je lepsi to zahodit jiz na vstupnich pravidlech...

[Zopper]

Protože zapnout pár voleb v sshd_config je o dost jednodušší, než propojovat ssh s firewallem. Nic nikomu nebrání si to propojení udělat, když ho chce.

[CPU]

Ono to Fail2ban neodstaví (že by ho nešlo použít), dá se použít i tak, třeba po 20. pokusu. (při přihlašování heslem)

Samozřejmě je lepší přihlášení certifikátem a trochu víc utažená pravidla.

[LivingLegend]

Kdyz blokovat zavadnej traffic, tak co nedrive. Proc by to melo prechazet celym sitovym stackem, kdyz se to da odfiltrovat jiz na urovni firewallu? Nez zbytecne navazovat spojeni se sshd-serverem (kterej to pak zablokuje) je lepsi to zahodit jiz na vstupnich pravidlech...

A on ten utok muze prijit jen z venku?

[jjrsk]

A ono se na ssh da pripojit jinak nez po siti?