https://slinkov.ru/openforum/vsluhforumID1/88287.html В iptables прописано ограничение по количеству обращений в минуту:<br><br>-A INPUT -d server.ip -m state --state RELATED,ESTABLISHED -j ACCEPT <br>-A INPUT -p tcp -m recent --set<br>-A INPUT -p tcp -m recent --update --seconds 30 --hitcount 10 -j REJECT<br><br>ну и меня самого при попытках частого подключения прекрасно срезает.<br>Но в логах вакханалия:<br><br>Mar 1 13:28:15 zmmu popa3d(pam_unix)[20394]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root<br>Mar 1 13:28:18 zmmu popa3d[20394]: Authentication failed for root<br>Mar 1 13:28:18 zmmu popa3d(pam_unix)[20399]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root<br>Mar 1 13:28:20 zmmu popa3d[20399]: Authentication failed for root<br>Mar 1 13:28:21 zmmu popa3d(pam_unix)[20401]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= <br>Mar 1 13:28:23 zmmu popa3d[20401]: Authentication failed for UNKNOWN USER<br>Mar 1 13:28:24 zmmu popa3d(pam_unix)[20404]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhos https://slinkov.ru/openforum/vsluhforumID1/88287.html#14 Tue, 02 Mar 2010 12:09:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Так, а как вы это сделали я не понял? судя по логу <br>&gt;&gt;&gt;- просто зашли с телнета... <br>&gt;&gt;<br>&gt;&gt;ну да, обычный телнет. <br>&gt;<br>&gt;а ну это меняет дело. у меня такие попытки на сервере принудительно <br>&gt;приводят к закрытию соединения. <br>&gt;в общем получилось, что я разобрался. Просто не так посчитал. <br>&gt;спасибо большое за дискуссию <br><br>:-) Я тоже маленько разобрался :-)))<br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#13 Tue, 02 Mar 2010 11:14:12 GMT &gt;&gt;Спасибо! <br>&gt;&gt;&gt;"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в <br>&gt;&gt;&gt;рамках установленного ТСР соединения производить несколько попыток авторизации. <br>&gt;&gt;<br>&gt;&gt;Так, а как вы это сделали я не понял? судя по логу <br>&gt;&gt;- просто зашли с телнета... <br>&gt;<br>&gt;ну да, обычный телнет. <br><br>а ну это меняет дело. у меня такие попытки на сервере принудительно приводят к закрытию соединения.<br>в общем получилось, что я разобрался. Просто не так посчитал.<br>спасибо большое за дискуссию<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#12 Tue, 02 Mar 2010 10:03:04 GMT &gt;Спасибо! <br>&gt;&gt;"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в <br>&gt;&gt;рамках установленного ТСР соединения производить несколько попыток авторизации. <br>&gt;<br>&gt;Так, а как вы это сделали я не понял? судя по логу <br>&gt;- просто зашли с телнета... <br><br>ну да, обычный телнет. <br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#11 Tue, 02 Mar 2010 09:47:41 GMT Спасибо!<br>&gt;"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в <br>&gt;рамках установленного ТСР соединения производить несколько попыток авторизации. <br><br>Так, а как вы это сделали я не понял? судя по логу - просто зашли с телнета...<br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#10 Tue, 02 Mar 2010 09:12:23 GMT &gt;так все - я лох педальный. <br>&gt;Действительно их строго 9 на 30 секунд. Я не заметил проброса в <br>&gt;30 секунд на каждый десятый раз. <br>&gt;Пожалуйста, ответьте на мой вопрос что значило: "Да легко. Надо отключать такое <br>&gt;нафиг" <br><br>"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в рамках установленного ТСР соединения производить несколько попыток авторизации.<br><br>"Отключать" - делать так, чтобы неудачная попытка авторизации обрывала ТСР-сессию, заставляя пересоединяться, соответственно подпадая под действие файрволла. Поскольку, обычно нормальному клиентскому софту нафиг не надо делать несколько авторизаций в одном ТСР соединении :-) А если пользователь действительно ошибся - то ничего страшного, переподключится.<br><br>Кстати говоря, кроме fail2ban, есть еще например pam-shield ... <br>Всё это очень удачно можно прикрутить к обсуждаемому recent, заполняя его таблицы скриптами.<br><br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#9 Tue, 02 Mar 2010 09:00:06 GMT так все - я лох педальный.<br>Действительно их строго 9 на 30 секунд. Я не заметил проброса в 30 секунд на каждый десятый раз.<br>Пожалуйста, ответьте на мой вопрос что значило: "Да легко. Надо отключать такое нафиг"<br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#8 Tue, 02 Mar 2010 05:59:34 GMT В догонку<br>У меня аналогичный лог выглядит отнюдь не так.<br>Соединяюсь telnet или маньяком все равно.<br><br>open mydomain.ru 110<br>+OK<br>user user<br>+OK<br>pass ghj<br>-ERR Authentication failed (bad password?)<br>Connection closed.<br><br>И все - опаньки. Так только 10 раз.<br>А почему у вас не было Connection closed? (на всякий случай скажу, что далеко не всякая софтина выдает эту строку в лог - ну это так... мало ли вдруг не знали..)<br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#7 Tue, 02 Mar 2010 05:49:44 GMT &gt;[оверквотинг удален]<br>&gt;user user3 <br>&gt;+OK Password required. <br>&gt;pass pass4 <br>&gt;-ERR Login failed. <br>&gt;user user5 <br>&gt;+OK Password required. <br>&gt;pass pass5 <br>&gt;-ERR Login failed. <br>&gt;<br>&gt;Да легко. Надо отключать такое нафиг, поскольку клиентскому софту не нужно<br><br>Стоп! Можно на этом месте подробнее? Длинный столбец - это лог сессии в которой в течение одного соединения несколько раз запрашивают логин/пароль. Так?<br>А вот дальше я не понял смысл предложения. Можно объяснить?<br> https://slinkov.ru/openforum/vsluhforumID1/88287.html#6 Mon, 01 Mar 2010 20:30:34 GMT Mar 1 13:28:15 zmmu xinetd[2078]: START: pop3 pid=20394 from=213.92.11.165<br>Mar 1 13:28:18 zmmu xinetd[2078]: START: pop3 pid=20399 from=213.92.11.165<br>Mar 1 13:28:21 zmmu xinetd[2078]: START: pop3 pid=20401 from=213.92.11.165<br>Mar 1 13:28:23 zmmu xinetd[2078]: START: pop3 pid=20404 from=213.92.11.165<br>Mar 1 13:28:26 zmmu xinetd[2078]: START: pop3 pid=20407 from=213.92.11.165<br><br>15 +3 = 18<br>18 +3 = 21<br>21 +2 = 23<br>23 +3 = 26<br><br>Это называется сильно чаще чем раз в три секунды ?<br><br><br>host01:~# telnet mail.mydomain.com 110<br>Trying 12.34.56.78...<br>Connected to mail.mydomain.com.<br>Escape character is '^]'.<br>+OK Hello there.<br>user user1<br>+OK Password required.<br>pass passw<br>-ERR Login failed.<br>user user2<br>+OK Password required.<br>pass pass2<br>-ERR Login failed.<br>user user3<br>+OK Password required.<br>pass pass4<br>-ERR Login failed.<br>user user5<br>+OK Password required.<br>pass pass5<br>-ERR Login failed.<br><br>Да легко. Надо отключать такое нафиг, поскольку клиентскому софту не нужно...<br>