>[оверквотинг удален]
>Вообще-то мое глубокое убеждение что хорошему демону костыли со стороны фаерволла просто
>не требуются. То есть, если на него ломится 100500 потоков -
>он должен или их обслужить без проблем или как-то затроттлить нагрузку
>на систему до вменяемой величины/послать на йух тех кто абузивно использует
>ресурс и т.п.. При том файрвол не знает в отличие от
>демона какое использование ресурсов демона приемлимо, а какое - нет. И
>обучать фаер защищать задницу каждого демона - довольно геморно, вообще-то, и
>попахивает костылестроением. Посему я резонно полагаю что демон который этого требует
>- не очень качественный, и это как бы некоторая проблема секурити,
>что демону вообще нужны услуги защитника-файрвола чтобы он не жрал ресурсы. Весь «гемморой» заключается в одной строчке:
pass in to <local-addrs> port ssh keep state (max-src-conn-rate 10/5)
Это не «защита», а разделение обязанностей. Да, к слову, login.conf тоже никто не отменял. Или в Linux до сих пор всё печально с login-классами?..
К слову, в sshd встроена защита от брутфорса, но другого плана — задержки и лимит количества попыток ввода пароля / подбора ключа, так как это уже, ессесно, на фаерволе не реализуется.
>[оверквотинг удален]
>этого конкретно демона и поставлена в основном (например, на сервере баз
>данных процессам БД допустимо выюзать ресурсы машины, etc). И то -
>такие демоны чаще всего недоступны снаружи, ибо нефиг и проблем с
>нагрузкой извне - нет. Но для секур шелла так не катит
>- если его снаружи совсем закрыть, сам же при случае без
>ручек управления и сосанешь. И как бы не прикольно нифига что
>openssh без проблем жрет 30% атлона 3000+ и форкает процессы "только
>потому что какой-то козел решил сегодня побрутфорсить". Козел, конечно, своей цели
>не достигает, но какого хрена такая нагрузка на систему в дефолтном
>состоянии, а?!
Вот и спросите об этом тех, кто преднастраивал ваш фаервол.
>>>в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая?
>>Затем, что это удобно и очень облегчает жизнь.
>
>Как ни странно, все свистелко-перделки именно так к софту и привинчиваюся. Именно
>с такой аргументацией. Вот только знаете, если я хотел поюзать ШЕЛЛ
>- это еще не значит что я хотел возможность файлы лить
>или порты форвардить и впны поднимать. Более того - в ситуации
>когда кому-то хочется предоставить ОГРАНИЧЕННЫЙ шелл, субъект не-совсем-доверяемый и прочая -
>с опенссх имеется некий геморрой на этот счет. Потому как в
>дефолтовом состоянии он как-то сильно дохрена всего умеет. Нахрена?
Какой ещё геморрой? Раскомментировать несколько строчек в конфиге и сделать sudo pkill -HUP sshd? Вообще, ситуация, когда дают шелл недоверенному человеку уже изначально заставляет всё в системе перепроверять, а не только конфиг SSH. Магии тут никакой нет. Если же все аккаунты на машине более-менее доверенные, то смысла ограничивать тут нет — нехороший юзер всё равно сможет сделать тот же форвард, просто чуть больше усилий ручками придётся приложить.
>>Каждый день пользуюсь этими фичами.
>
>А я пользуюсь ими раз в сто лет (ну, еще sftp -
>изредка и не везде, мля). Хотя-бы потому что какойнить опенвпн как
>впн - в сто раз забористее все-равно, разумнее сделан как VPN,
>лучше работает и возможностей потребных именно впн-туннелю у него явно больше.
Да сколько угодно. Зато SSH-VPN быстрее и легче поднимается. Разработчики сами позиционируют его как решение «когда надо быстро, но надёжно».
>Скажите, ну и зачем мне кой-как сделаный впн? С какими-то дебильными
>ппп, нахреннужными по большому счету, злибами грузящими проц сильнее чем лзо
>буквально в разы, да еще и по TCP линку, что как
>бы грабельное начинание. Зачем мне вообще какой-то недоношенный впн втюхивать в
>демоне СЕКУРНОГО ШЕЛЛА, а? Если мне надо будет впн - я
>себе нормальный, блин, поставлю. Сделанный не через задний проход.
Ну так и ставьте, вам что, кто-то мешает?
>>См. выше. У каждой программы есть своя сфера ответственности. И в своей
>>сфере OpenSSH на данный момент безусловный лидер.
>
>Вот только оно зачем-то лезет еще в 100500 сфер, которые по логике
>вещей вообще не сфера ответственности секурного шелла + собственно с секурти
>себя любимого не очень хорошо справляется, раз уж требует защиты своей
>жопы фаером.
SSH от большого количества детей ломается? Нет? Значит, с _его_ защитой всё в порядке. Резать же лишние коннекты на фаерволе не только логичнее и удобнее (ибо централизовано), но ещё и быстрее (т.к. дело до юзерленда тупо не доходит) и надёжнее (т.к. реализация кода одна на всех, её проще вылизать).
>>Примеры более фичастых и удобных
>
>А от секурного шелла не требуется быть адски фичастым. От него требуется
>быть нормальным СЕКУРНЫМ ШЕЛЛОМ.
Вы сказали сами, что есть более удобные и фичастые. Сами себе противоречите теперь.
> А не каким-то там качальщиков файлов, портфорвардером
>и недовпном, строго говоря. Если мне надо будет впн или портфорвардер
>- их отдельных на разные вкусы и задачи есть.
Верю, что есть (правда, вы так и поленились привести хорошие примеры). Зато здесь всё удобно интегрировано. Не нравится — не пользуйтесь, в конце-то концов.
>>(а ещё — надёжных, вы об этом скромно забыли) утилит в студию.
>
>Ну вот о надежности я уже сказал - когда жрется 30% проца
>и висит пачка левых процессов только потому что хацкер Вася видите
>ли вышел побрутфорсить - насчет надежности возникают некоторые предъявы.
От того, что вы десять раз продемонстрируете кривость своих рук, прямее они не станут. «Извините» © Слонёнок :)
