У Меня тут появилось свободное время и так подумал,
а не написать ли мне какуе-нибудь прогу ну скажем на perl для начала.
Только вот пока не нашел чем занятся как помочь Unix-людям.
Если у вас есть предложения то давайте выкладывайте!
Обсудим!
Пусть меня закидают тухлыми помидорами, но у меня предложение - написать нормальный вариант для ssh:
если с определенного ip проходит N неправильных аутентификаций, то ip блокируется. Такие решения есть, но это просмотр лога, а это не совсем то, что хотелось бы. Хотелось бы делать это просто опцией в ssh.Слабо такое написать? Возможно создание модуля pam, т.к. аутентификация проходит через pam, ну в общем я не программер...
Ну парень я не буду кидать в тебя помидорами т.к. ты сидишь по другую сторону сети, а помидоры еще не научились зипить и рарить, а потом кидать почтой. Было бы конечно смешно. Почтовик открываешь, а там тебе по лицу помидором. :) Но не в этом суть.
Я предлагаю тебе сделать просто очень простую опцию в sshd_config
MaxStartups 5:50:10 # после 5 неправильных регистраций, оторгает 50% новых подключений, и совсем не будет отвечать если число неправильных регистраций превысело 10
Или другой выход если ты один лазиешь через ssh на свой комп, тогда закрой просто для всех ssh и открой только для определенного IP.
Если ты не согласен со мной, то объясни какую пользу она принесет не только тебе, но и остальным.
> Я предлагаю тебе сделать просто очень простую опцию в sshd_config
>MaxStartups 5:50:10 # после 5 неправильных регистраций, оторгает 50% новых подключений, и
>совсем не будет отвечать если число неправильных регистраций превысело 10
>Или другой выход если ты один лазиешь через ssh на свой комп,
>тогда закрой просто для всех ssh и открой только для определенного
>IP.
>Если ты не согласен со мной, то объясни какую пользу она принесет
>не только тебе, но и остальным.
Можно я объясню?
1. Если она не будет отвечать совсем - ты сам тогда не подключишься к ней. Если она отвергает подключение только с того айпи - тогда другое дело. Но ведь я так понимаю, что 50% подключений - это независимо от src ip. А если учесть, что спамеры/кракеры/сканеры (или те, кто это делает)подбирают логины и пароли из словаря, а там далеко не 10 попыток - ssh видимо не будет отвечать совсем.
2. Открывать 22 порт для конкретного айпи - не тема. В жизни всякое бывает, и, бывает, что надо администрять из хрю-му-задрюпинска, либо с модема.
3. Изменить 22 порт на какой-нибудь другой - в принципе выход, но мне не нравится. Некрасиво. Да и в том тьму-задрюпинске он может быть перекрыт файрволом, а 22-ой все-таки обычно не закрывается никем.
Я совсем не пойму для чего это нужно? К тебе что так много долбятся народу по ssh, и ты боишься что кто-то все таки подберется к твоей системе, тогда несколько советов.
1. Ты сам сказал чтобы изменить порт 22 на любой другой, но он может быть перекрыт firewall.
2. Если это тебя не устраивает тогда поменяй систему шифрования у себя с md5 на blf.
3. Если ты уже совсем параноид-андроид используй публичные ключи, тогда точно ни кто не сможет проникнуть.
А остальные пусть долбятся - дятлы :)
Я тут решил все таки всглянуть в интернет и найти там что-то подобное для тебя мой друг. И что ты думаешь ни один ты такой. Вот тебе пару уролов. Люди то уже давно придумали велосипед, только осталось его найти.http://lists.freebsd.org/pipermail/freebsd-questions/2005-Ju...
http://www.pettingers.org/code/sshblack.html
sclif13, напиши пожалуйста, биллинг enterprise уровня, чтобы был не глючным, но при этом очень гибким (то есть, чтобы умел считать dialup, IP-трафик, обычную телефонию, IP-телефонию, умел оплату по карточкам, разнообразнейшие скидки, расчёты в разных валютах и многое другое).Как сделаешь, пиши ещё!! ;-)
>sclif13, напиши пожалуйста, биллинг enterprise уровня, чтобы был не глючным, но при
>этом очень гибким (то есть, чтобы умел считать dialup, IP-трафик, обычную
>телефонию, IP-телефонию, умел оплату по карточкам, разнообразнейшие скидки, расчёты в разных
>валютах и многое другое).
>
>Как сделаешь, пиши ещё!! ;-)В одиночку написать биллинг промышленнго уровня займет уйму времени, на тестирование уйдет времени не меньше :o}
>Я совсем не пойму для чего это нужно? К тебе что так
>много долбятся народу по ssh, и ты боишься что кто-то все
>таки подберется к твоей системе, тогда несколько советов.
>1. Ты сам сказал чтобы изменить порт 22 на любой другой, но
>он может быть перекрыт firewall.
>2. Если это тебя не устраивает тогда поменяй систему шифрования у себя
>с md5 на blf.
>3. Если ты уже совсем параноид-андроид используй публичные ключи, тогда точно ни
>кто не сможет проникнуть.
>А остальные пусть долбятся - дятлы :)Ну скажем так не очень так много народу ломится, но достаточно.
Это не страшно, но раздражает. Как говорил мудрейший Антибиотик: "Что-то часто в нашего Сережу стали стрелять, так ведь они и попасть могут...".
Реально было бы, если б та опция ssh работала бы только для src ip, а не для всех.
Шифрование у меня и так стоит blf, но при чем тут оно? От подбора паролей это не спасет. Пароли делать километровые и записывать их? :)
Кстати, винда после пяти неправильных попыток входа делает потом задержку, секунд 30.
Публичные ключи тоже не гибко, т.к. их надо где-то хранить и носить этот носитель с собой, дискетка, к примеру, очень ненадежная в этом плане.
Я же тебе кинул в форум пару сылок так что читай и разбирайся. Люди уже давно написали данный скрипт.
И еще один совет на счет паролей как писал Сергей Лукъяненко в одной книжке придумай пароль в виде фразы ну что бы запаминалось хорошо типа
"Учиться, учиться и еще раз учиться" ну и кто такой пасворд подберет?
>Я же тебе кинул в форум пару сылок так что читай и
>разбирайся. Люди уже давно написали данный скрипт.
>И еще один совет на счет паролей как писал Сергей Лукъяненко в
>одной книжке придумай пароль в виде фразы ну что бы запаминалось
>хорошо типа
>"Учиться, учиться и еще раз учиться" ну и кто такой пасворд подберет?
>Да я не спорю, ссылки - да, спасибо, но отвечал другому человеку, чтоб объяснить, зачем это вообще нужно. :)
A Cure for the Common SSH Login Attack
http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-A...
Ну давайте разовьем тему "биллинг enterprise уровня".
1. Я думаю что-такой билинг должен вообще идти в виде законченного программно-аппаратного продукта скажем на основе FreeBSD, ipfw, apache.
Почему FreeBSD ну на мой взгляд это самая удобная система для этого.
IPFW почему объеснять надеюсь не надо.
Apache - как средство администрирования и мониторинга, как сис. админа так и рядовых пользователей.
2. Moralez ты так хочешь что бы был подсчет трафика
- dialup пользователей + возможность использования карточной системы
- IP-трафик обычных пользователей + *DSL
- IP-телефонию (тут я не понял по IP-Телефонии идет тот же обычный трафик)
- обычную телефонию это как ?
- скидки и расчеты в разных валютах - это лишнее
Короче говоря если ты хочешь на этой системе предоставлять доступ в интернет и иметь с этого деньги, то парень у меня для тебя совет купи платный билинг с тех. поддержкой и будет все у тебя зашибись :)
>Ну давайте разовьем тему "биллинг enterprise уровня".
>1. Я думаю что-такой билинг должен вообще идти в виде законченного программно-аппаратного
>продукта скажем на основе FreeBSD, ipfw, apache.
Если промышленный уровень то и сиквел какой нибудь надобен.
>Почему FreeBSD ну на мой взгляд это самая удобная система для этого.
Спору нет, но прикручивать оракл через линуховую прослойку -это нечто.
>
>IPFW почему объеснять надеюсь не надо.
>Apache - как средство администрирования и мониторинга, как сис. админа так и
>рядовых пользователей.
>2. Moralez ты так хочешь что бы был подсчет трафика
> - dialup пользователей + возможность использования карточной системы
> - IP-трафик обычных пользователей + *DSL
> - IP-телефонию (тут я не понял по IP-Телефонии идет тот же
>обычный трафик)
> - обычную телефонию это как ?
> - скидки и расчеты в разных валютах - это лишнее
Тогда это не enterprice
>Короче говоря если ты хочешь на этой системе предоставлять доступ в интернет
>и иметь с этого деньги, то парень у меня для тебя
>совет купи платный билинг с тех. поддержкой и будет все у
>тебя зашибись :)
Не совсем уж и зашибись,как обычно, покупают какой нибудь посредственный,на тот который зашибись денег может не хватить, а потом говорят "Вы же айтишники, вот и разбирайтесь" (случай из реальной жизни)
Ну на счет SQL ты прав он тут обезательный без него никуда, но думаю что оракул конечно крутая вещь, но дорогая, можно взять его брата postgreSQL.
И не надо париться с настройкой под FreeBSD/
>Ну на счет SQL ты прав он тут обезательный без него никуда,
>но думаю что оракул конечно крутая вещь, но дорогая, можно взять
>его брата postgreSQL.
>И не надо париться с настройкой под FreeBSD/А чем не гож MySQL?
На фре связка апача+пхп+MySQL - очень неплохо работает.
enterprise billing на апач+пхп+MySQL? Бгык...sclif13, мне на данный момент такой биллинг не нужен.
Насчёт "купи платный" - это тоже фигня полная. Гораздо дешевле написать под себя (чтобы было безглючно и гибко). А всё потому, что нет в природе хороших свободных биллингов. Потому я и предлагаю тебе написать, раз вызвался....
MySQL то же хорошая штука, но там нету многих функций, которые есть в оракл или postgreSQL. Для малых проектов где не нужна быстрота обработки запросов и кол-во пользователей ограничено это идеальный вариант. Возможно скоро MySQL сделает MSSQL, хотя по многоплатформенности он давно уже делает MSSQL.
Мен! Напиши крутой детектор мата! Я вот на php написал:
http://www.ustup.ru/am/index.php Интреаная игрушка - люди приходят, начинают издеваться. Там у меня и лог есть и исходник посмотреть даю.
Цель детектора мата - кидать админу форума варнинги на сообщения, не трогая больше ничего.
>У Меня тут появилось свободное время и так подумал,
>а не написать ли мне какуе-нибудь прогу ну скажем на perl для
>начала.
>Только вот пока не нашел чем занятся как помочь Unix-людям.
>Если у вас есть предложения то давайте выкладывайте!
>Обсудим!
Ваще тривиальная просьба. Напиши на перле скрипт плиз, который беред данные из MySQL и пишет автоматом dhcpd.conf :)
>>У Меня тут появилось свободное время и так подумал,
>>а не написать ли мне какуе-нибудь прогу ну скажем на perl для
>>начала.
>>Только вот пока не нашел чем занятся как помочь Unix-людям.
>>Если у вас есть предложения то давайте выкладывайте!
>>Обсудим!
>
>
>Ваще тривиальная просьба. Напиши на перле скрипт плиз, который беред данные из
>MySQL и пишет автоматом dhcpd.conf :)Надо парня быстрей определить =) А то у него время свободное мало ли на исходе =)
>>>У Меня тут появилось свободное время и так подумал,
>>>а не написать ли мне какуе-нибудь прогу ну скажем на perl для
>>>начала.
>>>Только вот пока не нашел чем занятся как помочь Unix-людям.
>>>Если у вас есть предложения то давайте выкладывайте!
>>>Обсудим!
>>
>>
>>Ваще тривиальная просьба. Напиши на перле скрипт плиз, который беред данные из
>>MySQL и пишет автоматом dhcpd.conf :)
>
>Надо парня быстрей определить =) А то у него время свободное мало
>ли на исходе =)
вот вот, ща пока будем решать что писать, время и выйдет :)
Что берет из MySQL и что пишет в dhcpd.conf и для чего это?
>У Меня тут появилось свободное время и так подумал,
>а не написать ли мне какуе-нибудь прогу ну скажем на perl для
>начала.
>Только вот пока не нашел чем занятся как помочь Unix-людям.
>Если у вас есть предложения то давайте выкладывайте!
>Обсудим!
Идиотизм какой..
Времени свободного до 1 сентября?
Время пока есть каждую субботу воскресение я свободен.
Только вот идей чего написать нету. Что там писать одноразовый скрипт - неохото. НУ один воспользовалься, ну другой и все. А биллиг это да, но для этого надо набирать комманду и писать будем год или 2.
>Время пока есть каждую субботу воскресение я свободен.
>Только вот идей чего написать нету. Что там писать одноразовый скрипт -
>неохото. НУ один воспользовалься, ну другой и все. А биллиг это
>да, но для этого надо набирать комманду и писать будем год
>или 2.Да, зато биллингом все будут пользоваться, это действительно мысль хорошая.
Тестирование корпоративного масштаба не могу сделать, но небольшая сетка для экспериментов у меня есть. Так если надумаешь собирать комманду программистов, не забудь про меня.--
С уважением,
Андрей
e-mail: liks at altlinux.ru
icq: 238657000
Год на биллинг? Писал "под себя", но маштабируемый ( perl + posgres + flow-tools ) за две недели, в свободное время.
напиши лучше что-то типа netgraph модуля, но под линукс, чтобы пакеты щелкал в кернел спейсе.
>Время пока есть каждую субботу воскресение я свободен.
>Только вот идей чего написать нету. Что там писать одноразовый скрипт -
>неохото. НУ один воспользовалься, ну другой и все. А биллиг это
>да, но для этого надо набирать комманду и писать будем год
>или 2.Реально ты загнул "ГОД ИЛИ 2" - я один написал нормальный биллинг с использованием php,perl,shell (постепенно всё переделал на php) скриптов в связке с mysql+freeradius+(mpd или PoPToP) за полтора месяца в свободное время (делал дипломный проэкт). Изначально заложил гибкую возможность добавления разнообразных модулей. Сейчас он внедрён у "молодого" провайдера и под его управлением работает около 60 человек, получилось очень хорошо. Учтены и модули с карточками, и отключение по перебору, и простая статистика. К тому же шейпинг тоже управляется с билинга (причём биллинг стоит на одной машине, а шлюзом является другая на которой всё и шейпится и раздаётся инет), и это ещё не всё, а ты говоришь один два года.