>[оверквотинг удален]
>это как? Да, боты в курсе что за активный долбеж -
>банят. Поэтому в пересчете на бота - количество запросов в единицу
>времени небольшое. Зато самих ботов - предостаточно, поэтому нагрузка от них
>случается и довольно приличная временами на некоторые хосты. В итоге при
>потугах лимитировать число соединений или запросто пролезают распределенные боты типа этих,
>или просасывает сам админ которого его же файер и зарубит. А
>боты в последнее время что-то поумнели и брутят нынче распределенно. В
>пересчете на 1 бота - медленно. Чтобы не попадать под всякие
>fail2ban-ы, лимиты соединений и прочая как раз. Или вы думаете что
>все ботмастеры - тупые, а вы один - в белом? Прекрасно. А теперь скажите, как sshd должен отличить админа? По логину admin? Он его зарубит точно так же.
>>Это не «защита», а разделение обязанностей.
>
>Это именно подстановка костылей. Когда демон начинает жрать 30% проца, его зад
>приходится оборонять.
Вам пример с "GET /" уже привели. И nginx, к слову, работает по тому же принципу, что и sshd — неблокируемый ввод-вывод. fork() делается сугубо в интересах безопасности, и это вы должны, надеюсь, понимать: чтобы при наихудшем развитии событий был по возможности хакнут не master-процесс, работающий от рута, а процесс с дропнутыми привилегиями.
Да, и ещё в sshd ещё криптографии дофига. Если говорить об обслуживании nginx HTTPS, а не просто HTTP, ляжет он точно так же.
>[оверквотинг удален]
>Узнать о том что они не админ можно только после того
>как боты подконектятся к sshd и некорректно авторизуются, что логично. Есть
>только одна проблема: на это будет сожрано прилично ресурсов, в общем
>то. И если припирается орава ботов которые медленно (в пересчете на
>рыло) но ощутимо (по суммарному эффекту) грузят демон - как-то не
>очень то и понятно как их цивильно отбить чтобы админ сам
>потом не сосанул. Единственное более-менее эффективное, но немного страусиное решение -
>порткнокинг разве что. Так что боты до ресурсоемких операций не добираются.
>Но, блин, это было так сложно на уровень демона загнать? Или
>это недостаточно полезная свистелка?
port-knocking отклонён как фича к реализации. Во-первых, далеко не всегда админ его может вообще сделать (мне, например, приходилось не раз через MIDPSSH что-то экстренно фиксить). Во-вторых, админская память имеет тенденцию забывать номера — или вы будете одинаковую комбинацию на все сервера ставить?
>>К слову, в sshd встроена защита от брутфорса, но другого плана —
>>задержки и лимит количества попыток ввода пароля / подбора ключа, так
>>как это уже, ессесно, на фаерволе не реализуется.
>
>Это все круто. Кроме того что пачка ботов припершихся на sshd начинает
>неторопливо в пересчете на одного бота брутить. Не попадая под бан
>но создавая приличную нагрузку от кучки ботов в целом. Что самое
>обидное - даже если бы они лупили на полной скорости, они
>бы не подобрали пароль до погасания солнца :). А вот проц
>почем зря - жрется.
Ну и чем, чем здесь поможет лимит? Он точно так же помешает пролезть админу!
>>Вот и спросите об этом тех, кто преднастраивал ваш фаервол.
>
>А почему я это должен у файрвола вообще спрашивать? Файрвол 30% CPU
>не жрет. Или будем искать ключи не там где потеряли а
>там где светлее?
Ещё раз: подключение как таковое есть уровень L3. Поэтому лишние подключения должны резаться на уровне L3. То есть, в данном случае, фаерволом.
Это у пропиетарщиков есть тенденция комбайны всё-в-одном реализовывать. То ли потому что не умеют / не хотят подстраивать своё ПО под смежное, то ли потому что рассчитывают, что пользователь купится на их «антивирус с функциями фаервола» и только за счёт этого предпочтёт комбинации «антивирус + фаервол»…
>>Да сколько угодно. Зато SSH-VPN быстрее и легче поднимается.
>
>Зато менее универсально, менее фичасто и т.п.. А так - я вот
>еще почтовик и браузер каждый день использую. Почему бы на засунуть
>какиенить простенькие в sshd? А что, зато быстрее и легче поднимается
>- не надо софт никакой ставить. Зашел по шеллу и
>бац - вот те и браузер и почтовик сразу. Можно и
>жаббер встроить. И клиент и сервер. А то мало ли, вдруг
>понадобится?
Современный sshd — это секурный транспорт. Который умеет хорошо делать shell и передавать файлы, и кое-как (но всё же умеет, и достаточно надёжно) — VPN, который тоже разновидность транспорта.
>>Ну так и ставьте, вам что, кто-то мешает?
>
>Дык. Только зачем мне какой-то недо сватать?
Да никто и не сватает, используйте, что вам удобно. Это вы на него сами взъелись, мол, зачем… Затем, что это оправданно по мнению разработчиков. Можете им не доверять, конечно, а я предпочитаю следовать словам великого персидского поэта и учёного (и пьяницы, ну да это мы опустим ;) ): «Яд, мудрецом предложенный, прими; Брать от глупца не стоит и бальзама».
>>здесь всё удобно интегрировано.
>
>Блин, по такой логике винды сделаны. Ну и что что почтовик хреновый,
Зато не жрёт ресурсы как тот же ThunderBird, и все базовые функции на месте. Кому надо больше — ставьте, что хотите, Microsoft не запрещает. ;)
>IM годен только на свалку,
В Америке, кстати, пользователей не так уж мало. Специфика регионов, панимашь. У нас вот, наоборот, ICQ настолько популярная, что её наши в итоге и купили… Глядя на то, что происходит с купленным нашими же ЖЖ, думаю, теперь скоро все сами перейдут на Jabber. ;)
> почтовик убогий,
Вы повторяетесь. Чем лично вам отравил жизнь OE? :)
> файрвол никакрй, etc? Зато все удобно интегрировано.
Фаервол действительно нулевой. Только вы что, думаете, что я винду рьяно защищать буду? :) Ну говно фаервол в клиентских машинах, говно. Спасибо, что хоть такой есть. Можно успеть поставить нормальный, пока червяки не пробрались. :-P
>>От того, что вы десять раз продемонстрируете кривость своих рук,
>
>Вы мне трухина напоминаете при этом. Да, безусловно, окультурить можно что угодно.
>Но чем меньше танцев с бубном - тем лучше система для
>админов. Ибо расстановка костылей оптом для грабельных демонов - не совсем
>то о чем мечтают админы...
Вы не поверите, именно этому принципу следуют опёнковцы. При этом стараясь не подменять одни танцы другими, а именно что избавляясь от них. Магии здесь, увы, никакой нет: все имеющиеся решения, кроме как повысить производительность машины или ограничить доступ по белому списку IP-адресов (да и это не всегда приемлемо), чреваты другими неприятными последствиями.
