_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Solar Designer 2:5020/400 Sat 21 Nov 98 21:51
Subj : ssh flood
________________________________________________________________________________
From: Solar Designer <solar@cannabis.dataforce.net>
> SD> Еще один результат: многие из нас задумались "а где у нас открыт ssh",
> SD> и "а насколько мы ему доверяем", хотя раньше у некоторых это был чуть
> SD> ли не единственный порт, пропускаемый через firewall без раздумий.
> Hе знаю насчет "без раздумий", а просто как еще удаленно администрировать
> сервер? Выбор-то между ssh, telnet и rlogin :-)
Hу, есть еще альтернативы, но ничего существенно лучшего. Вопрос несколько
в другом: а именно, не все сервера надо удаленно администрировать и не ото
всюду, так что 22 порт необязательно пропускать везде. Можно и ограничить.
> SD> Короче, нет худа без добра. Впрочем, если бы наконец пофиксили и DoS
> SD> тоже, я был бы совсем рад. ;-) Видимо, самому придется найти время...
> А где там и какой? А то я собираюсь 1.2.26 в .deb превращать, все равно в
> исходники забраться придется, может, и сломаю чего...
Да как и "везде" -- несколько тривиальных возможностей для flood'а. Еще до
логина -- просто кучей коннектов -- и машина ляжет, даже rlimit'ами ничего
не сделаешь (оно под рутом). А если бы rlimit'ы помогали -- то только от DoS
всей машины, тогда как сделать невозможным заход по SSH можно было бы все
равно. Если это пофиксить, останутся всякие вещи и после логина, но это уже
не везде страшно.
Короче, очевидные вещи, на которые пока все плюют, но они от этого не
перестают быть проблемой. Причем серьезной. Вот если я сейчас напишу
скрипт и закину в BugTraq, на следующий день сотню машин повалят. ;-(
Как фиксить -- IMHO, надо добавлять лимиты на исходный адрес. То же самое
относится и к xinetd.