>> pf
> У меня iptables. Он конечно справляется с отстрелом уродов, но если уж
> в этот мегакомбайн можно засовывать sdtp и впн то наверное и
> автоотстрел брутфорсеров сделать можно? В общем какая-то странная логика развития у
> них. Пир во время чумы, как обычно.Это уже обсуждалось много раз, и, по-видимому, до вас никогда не дойдёт. Но для тех, кто пока ещё плохо разбирается в теме и поэтому может поверить пропагандируемой вами ахинее:
Глупо пытаться встроить логику контроля подключений в каждое приложение, если только к этому не вынуждает логика протокола (например, виртуальный хостинг в случае HTTP, где разные значения заголовка Host могут определять совсем разные действия и разную нагрузку). Именно фаервол отвечает за контроль над установлением соединений. Поэтому логичнее, проще, естественнее, быстрее и надёжнее в конце концов - контролировать входящие подключения к SSH-серверу именно им.
Но нет, это не по-нашему. Если для NetFilter нет mod_banextrasshload (нет ли?); если в NetFilter самом нет аналога "max-src-conn ... max-src-conn-rate ... overload ..." из PF (нет ли?), то это означет не то, что NetFilter несовершеннен - это означает, что следует использовать костыли вроде fail2ban и упрекать авторов популярных программных серверов, что они не смеют изобретать велосипеды.
Вот, скажем, логика избегания нехватки файловых дескрипторов должна, увы, реализовываться в каждом приложении по-своему, да. По крайней мере, об изящных универсальных решениях этой проблемы для C лично мне пока не известно. И в этом случае таки да, разработчики OpenSSH, равно как и других компонентов OpenBSD, проделали соответствующую работу.
... Ну а теперь можно ждать очередных попыток сменить тему в духе: "а зато в вашем опёнке...". :)
