回来了

讨论各种类UNIX,如 Linux distributions,OpenSolaris,Minix,GNU/kFreeBSD,GNU/Hard;广义的计算机与数码设备;Life,the Universe and Everything.

版主: wkx9dragon

回复
头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

回来了

帖子 leo » 2012-07-22 0:54

回来后8,900KB/s的下载速度,在北京和长沙只有20/30K的速度,这事咋整呢?:D
回国之前用另一个域名在家里开了一个服务器,开放80和22端口,没有设置sshkey,无数尝试者均以失败告终,有个来自韩国的Ip尤其猖狂,居然试了10多天,因为本身是禁用root登陆,所以也没有太在意,猜用户名和密码?这不就是直接找脑残呢吗?:)

历经一个多月,实践证明,并非一定要设置sshkey.........

wkx9dragon
锌 Zn
帖子: 493
注册时间: 2010-02-02 18:00

回复: 回来了

帖子 wkx9dragon » 2012-07-22 19:07

斑竹,真厉害,用户名和密码设的太难猜了,让人家猜了十天。牛。不愧是安全意识高。

f5b
锆 Zr
帖子: 642
注册时间: 2011-10-22 20:43

回复: 回来了

帖子 f5b » 2012-07-22 19:42

哈,leo终于回来了,5.2等你剪彩呢

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

回复: 回来了

帖子 leo » 2012-07-24 12:01

wkx9dragon 写了:斑竹,真厉害,用户名和密码设的太难猜了,让人家猜了十天。牛。不愧是安全意识高。
从纯理论的角度上考量,我的用户名和密码要用暴力破解估计要1年,所以如果OpenSSH本身没有安全问题,我也不太担心。
f5b 写了:哈,leo终于回来了,5.2等你剪彩呢
走之前刚做当前升级,回来后赶紧升级成最近的snapshot,目前暂时没用发行版和稳定版,主要是不想编译、没那耐心,机器也太老了。
不过今天本想试试nginx,结果发现当前还没有处理好。(这不是一、两次了)——OpenBSD有时候也不省心,远程升级当前,我还没有找到好方法。
至于5.2的剪彩,已经没有什么新鲜感了,感觉OpenBSD多少有些保守,似乎更新的内容不多(新技术)。

f5b
锆 Zr
帖子: 642
注册时间: 2011-10-22 20:43

回复: 回来了

帖子 f5b » 2012-07-25 9:25

Leo 写了:从纯理论的角度上考量,我的用户名和密码要用暴力破解估计要1年,所以如果OpenSSH本身没有安全问题,我也不太担心。

走之前刚做当前升级,回来后赶紧升级成最近的snapshot,目前暂时没用发行版和稳定版,主要是不想编译、没那耐心,机器也太老了。
不过今天本想试试nginx,结果发现当前还没有处理好。(这不是一、两次了)——OpenBSD有时候也不省心,远程升级当前,我还没有找到好方法。
至于5.2的剪彩,已经没有什么新鲜感了,感觉OpenBSD多少有些保守,似乎更新的内容不多(新技术)。
nginx啥东西没有处理好呢
估计这两天5.2 release源代码就释放出来,当然,某个snapshot可能就是11月份的release



对了,+8国内时间昨晚十点多访问gobsd特慢,访问其它美国网站都非常快啊。

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

回复: 回来了

帖子 leo » 2012-07-25 22:01

i386的snapshot里nginx的配置文件不全,估计是没有来得及放进去.....

为什么国内这样慢我也不知道,我这里一般情况下下载速度都在800多K,当然偶尔也有上不去的时候,毕竟是共享的虚拟主机,碰上一个站点正处于下载高峰,其他的站点肯定会受影响,但是这种情况不在我这里似乎并不多。也许是线路的问题——这条线的国际出口有带宽限制。

头像
unreal
银 Ag
帖子: 1072
注册时间: 2010-06-07 18:52

回复: 回来了

帖子 unreal » 2012-07-26 0:46

棒子和阿三是地球上的一对奇葩~

sshkey至今木有接触,从生成key的方式来看似乎是跟机器硬件绑定,那对于经常使用各种不同类型的设备的人设置比较麻烦,或者带着自己的设备到处跑,可以用手机来ssh不错噢。
勤能補拙 Just do it now!

头像
acheng
锌 Zn
帖子: 581
注册时间: 2011-07-07 21:52

回复: 回来了

帖子 acheng » 2012-07-26 10:27

我家里的迷你机用的是密钥验证 (但运行的是Ubuntu ~)。今天在MISC上看到有人在讨论sshguard这个程序,应该是专门防范猜密码这种玩意的~

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

回复: 回来了

帖子 leo » 2012-07-26 11:14

如果跑OpenBSD, 用PF可以直接防住,不用安装第三方软件,即便不换端口,再配合sshkey的话,如果OpenSSH自己没有漏洞基本上可以认为无忧。

f5b
锆 Zr
帖子: 642
注册时间: 2011-10-22 20:43

回复: 回来了

帖子 f5b » 2012-07-27 17:25

一、在开启密码验证的情况下,sshguard 结合pf效果比仅仅用pf好,可对付“尝试密码频率低”的攻击。

如果不用sshguard,则需要2个地方做设置

1. /etc/pf.conf添加类似以下信息

代码: 全选

table <bruteforce> persist
block quick log  proto tcp from <bruteforce> to any port ssh

pass quick proto tcp to $all_if port ssh keep state (max-src-conn 3, max-src-conn-rate 1/5, overload <bruteforce>)
crontab -e添加

代码: 全选

*/11    *       *       *       *       /sbin/pfctl -t bruteforce -T expire 600 > /dev/null 2>&1
详情看看http://home.nuug.no/~peter/pf/ 和peter的书等

二、如果仅开启pubkey验证,sshguard默认设置无法起作用,pf也没有必要做以上设置了。

回复

在线用户

正浏览此版面之用户: 没有注册用户 和 12 访客