NA> Всем нытикам, пострадавшим в ходе IP-прозвонки, слушайте сюда. NA> Предположим, есть у вас linux сервачок, и, предположим, на нём открыт NA> внешний ssh, чтобы можно было ходить админить.
Ну и?
NA> Поглядывали в логи сколько туда PiДаPacoв ломиться?
Не так уж и много, ибо клинические случаи отстреливаются на уровне ядра и до работающего в userspace демона sshd просто не доходят. А те, которые доходят, отстреливаются самим демоном:
Jan 8 01:03:49 ws sshd[18023]: Unable to negotiate with 141.98.11.16 port 42226: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1, diffie-hellman-group1-sha1 [preauth]
Ага, кому-то проломили сервер в литовском датацентре.
NA> На убунде, например, ls -l /var/log/auth.log может занимать NA> гигабайты, если не логротейтить.
Это в очередной раз подтверждает, что хорошую систему никто не назовет ни дебилианом, ни ебунтой. А с некоторых пор и шляпой.
NA> А что если у вас будет HTTP отвечать на внешнем IP? А SMTP?
Отвечают. Защищены точно так же.
Всего лишь два ядерных модуля (причем мной написан только один из них) и две строчки в конфиге, а эффект просто прекрасный.
NA> И да, особо матёрые линуксоводы мне сейчас предложат sshd запускать NA> на нестандартном порту, чтобы все подрят не ломились. На что я им NA> отвечу - security through obscurity :-)
Профанация. Тот же nmap найдет любой сервис где угодно.
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
