Исходное сообщение
"Новая программа для блокирования попыток подбора паролей" Отправлено Samm, 01-Авг-06 16:37
>1) Быстрее, так как не требует дополнительного сканирования логов и работает на >уровне PAM Оно не сканирует логи, а слушает pipe в syslogd >2) Как следствие лучше интегрируется в существующую модель безопасности, так как ничего >дополнительного не запускается Оч. спорный вопрос. Требует наличия PAM авторизации в используемом сервисе. >3) Работает на любой POSIX-совместимой платформе, так как используются только стандартные >компоненты (ndbm для хранения таблиц и конфигов, например) Конфиги хранятся в текстовом файле, таблицы - в ipfw. Работа на любой posix (кстати, я не уверен, что pam описан в posix) мне просто не требовалась >4) Lookup hostname'ов происходит на этапе конфигурирования и не требует дополнительных временных >задержек впоследствии. Далее поиск правила происходит очень быстро по хешу. Простите, какой lookup? никакая работа с dns не производится. скорость поиска во внутренних структурах настолько быстр, что делать хеш я не вижу смысла. Как и не вижу проблем его  сделать в случае необходимости. >5) Корректно работает с любыми адресами (не только IPv6 и Ipv4), правда >маска поддерживается только для последних двух. Т.е. её можно использовать с >любыми сетевыми протоколами (даже самопальными, если они корректно интегрированы в стек) Данная задача не была для меня актуальна. Да и что значит "корректно интегрированы в стек"? > >6) Может работать вообще без firewall и с firewall не поддерживающем таблиц > >7) Работает с абсолютно любыми сервисами (т.к. через PAM). В случае если сервис обращается к PAM. Вот вам пример ситуаций при которых не происходит обращения к PAM: http auth, подбор пользователей в rcpt-to, пользователи ssh которых нет в allow users... Уверен, что таких ситуаций превеликое множество > >--------------------------------------------------------------- >Пример настройки для FreeBSD: > # pam_af_tool ruleadd -h '*' -a 15 -t 4y > # pam_af_tool ruleadd -h localhost -a unlimited -t 0 > # pam_af_tool ruleadd -h 124.45.34.2/21 -a 8 -t 16H23M12S > # pam_af_tool ruleadd -h 207.46.0.0/16 -a 5 -t 15H -l '/sbin/ipfw >add >             >100 deny all from $PAM_RHOST to any' > >И всё! Никаких демонов etc.. Я не вижу каким образом правило с ipfw исчезнет через n минут. И кроме того, я считаю, что таблицы в данном случае много уместнее. Дополнительно я хотел бы подчеркнуть, что я совершенно не умаляю достоинст вышеописанной тулзы, просто я считаю, что у них несколько разная идеология, и как следствие - область применения.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>1) Быстрее, так как не требует дополнительного сканирования логов и работает на >>уровне PAM > Оно не сканирует логи, а слушает pipe в syslogd >>2) Как следствие лучше интегрируется в существующую модель безопасности, так как ничего >>дополнительного не запускается > Оч. спорный вопрос. Требует наличия PAM авторизации в используемом сервисе. >>3) Работает на любой POSIX-совместимой платформе, так как используются только стандартные >>компоненты (ndbm для хранения таблиц и конфигов, например) > Конфиги хранятся в текстовом файле, таблицы - в ipfw. Работа на любой > posix (кстати, я не уверен, что pam описан в posix) мне > просто не требовалась >>4) Lookup hostname'ов происходит на этапе конфигурирования и не требует дополнительных временных >>задержек впоследствии. Далее поиск правила происходит очень быстро по хешу. > Простите, какой lookup? никакая работа с dns не производится. скорость поиска во > внутренних структурах настолько быстр, что делать хеш я не вижу смысла. > Как и не вижу проблем его сделать в случае необходимости. >>5) Корректно работает с любыми адресами (не только IPv6 и Ipv4), правда >>маска поддерживается только для последних двух. Т.е. её можно использовать с >>любыми сетевыми протоколами (даже самопальными, если они корректно интегрированы в стек) > Данная задача не была для меня актуальна. Да и что значит "корректно > интегрированы в стек"? >> >>6) Может работать вообще без firewall и с firewall не поддерживающем таблиц >> >>7) Работает с абсолютно любыми сервисами (т.к. через PAM). > В случае если сервис обращается к PAM. Вот вам пример ситуаций при > которых не происходит обращения к PAM: > http auth, подбор пользователей в rcpt-to, пользователи ssh которых нет в allow > users... Уверен, что таких ситуаций превеликое множество >> >>--------------------------------------------------------------- >>Пример настройки для FreeBSD: >> # pam_af_tool ruleadd -h '*' -a 15 -t 4y >> # pam_af_tool ruleadd -h localhost -a unlimited -t 0 >> # pam_af_tool ruleadd -h 124.45.34.2/21 -a 8 -t 16H23M12S >> # pam_af_tool ruleadd -h 207.46.0.0/16 -a 5 -t 15H -l '/sbin/ipfw >>add >> >>100 deny all from $PAM_RHOST to any' >> >>И всё! Никаких демонов etc.. > Я не вижу каким образом правило с ipfw исчезнет через n минут. > И кроме того, я считаю, что таблицы в данном случае много > уместнее. Дополнительно я хотел бы подчеркнуть, что я совершенно не умаляю > достоинст вышеописанной тулзы, просто я считаю, что у них несколько разная > идеология, и как следствие - область применения.
	Введите код, изображенный на картинке: