>Лимит количества подключений в единицу времени логично как раз централизовано на
>фаерволе делать, а не в каждой проге логику прикручивать, не? Вообще-то мое глубокое убеждение что хорошему демону костыли со стороны фаерволла просто не требуются. То есть, если на него ломится 100500 потоков - он должен или их обслужить без проблем или как-то затроттлить нагрузку на систему до вменяемой величины/послать на йух тех кто абузивно использует ресурс и т.п.. При том файрвол не знает в отличие от демона какое использование ресурсов демона приемлимо, а какое - нет. И обучать фаер защищать задницу каждого демона - довольно геморно, вообще-то, и попахивает костылестроением. Посему я резонно полагаю что демон который этого требует - не очень качественный, и это как бы некоторая проблема секурити, что демону вообще нужны услуги защитника-файрвола чтобы он не жрал ресурсы.
Исключения по жрачу ресурсов допустимы только в случае когда система чисто ради этого конкретно демона и поставлена в основном (например, на сервере баз данных процессам БД допустимо выюзать ресурсы машины, etc). И то - такие демоны чаще всего недоступны снаружи, ибо нефиг и проблем с нагрузкой извне - нет. Но для секур шелла так не катит - если его снаружи совсем закрыть, сам же при случае без ручек управления и сосанешь. И как бы не прикольно нифига что openssh без проблем жрет 30% атлона 3000+ и форкает процессы "только потому что какой-то козел решил сегодня побрутфорсить". Козел, конечно, своей цели не достигает, но какого хрена такая нагрузка на систему в дефолтном состоянии, а?!
>>в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая?
>Затем, что это удобно и очень облегчает жизнь.
Как ни странно, все свистелко-перделки именно так к софту и привинчиваюся. Именно с такой аргументацией. Вот только знаете, если я хотел поюзать ШЕЛЛ - это еще не значит что я хотел возможность файлы лить или порты форвардить и впны поднимать. Более того - в ситуации когда кому-то хочется предоставить ОГРАНИЧЕННЫЙ шелл, субъект не-совсем-доверяемый и прочая - с опенссх имеется некий геморрой на этот счет. Потому как в дефолтовом состоянии он как-то сильно дохрена всего умеет. Нахрена?
>Каждый день пользуюсь этими фичами.
А я пользуюсь ими раз в сто лет (ну, еще sftp - изредка и не везде, мля). Хотя-бы потому что какойнить опенвпн как впн - в сто раз забористее все-равно, разумнее сделан как VPN, лучше работает и возможностей потребных именно впн-туннелю у него явно больше. Скажите, ну и зачем мне кой-как сделаный впн? С какими-то дебильными ппп, нахреннужными по большому счету, злибами грузящими проц сильнее чем лзо буквально в разы, да еще и по TCP линку, что как бы грабельное начинание. Зачем мне вообще какой-то недоношенный впн втюхивать в демоне СЕКУРНОГО ШЕЛЛА, а? Если мне надо будет впн - я себе нормальный, блин, поставлю. Сделанный не через задний проход.
>Насчёт названия не заморачиваюсь, вон, некоторые музыкальные плееры обзывают DeadbeeF,
>и ничего, живут.
Насчет названия - не вижу ничего такого страшного в названии DeadbeeF - звучное и колоритное, юзерам имхо понравится :).
>См. выше. У каждой программы есть своя сфера ответственности. И в своей
>сфере OpenSSH на данный момент безусловный лидер.
Вот только оно зачем-то лезет еще в 100500 сфер, которые по логике вещей вообще не сфера ответственности секурного шелла + собственно с секурти себя любимого не очень хорошо справляется, раз уж требует защиты своей жопы фаером.
>А насчёт fail2ban — не вижу вообще повода заморачиваться. Нормальный пароль и
>так не подберут, а плохой — ну через месяц вместо недели, разница для вас будет велика?
А разница - в том что если уродов не банить или не лимитить на фаере (с риском самому сосануть от лимита при распределенно атаке, мля) - опенссх ресурсы жрет при активном бруте как свинья помои. В итоге "секурный" шелл приходится костылями огораживать от хакеров. И вместо того чтобы, блин, вот такие грабельные и общеизвестные аспекты пролечить - вместо этого городят какие-то дебильненько сделанные недовпн-ы, файлокачалки и прочую побочную муть.По-моему, их вектор развития попер куда-то не туда и они уже забыли ради чего писалась эта байда.Обожествлять эту штуку я бы не стал, уж извините.У опенбсдшников есть прикольные демоны, но вот sshd от них мне нравится все меньше и меньше, т.к. есть грабли с прямыми обязанностями а вместо улучшения этого аспекта почему-то пилят какие-то левые побочные фичи которые мне нафиг не сдались.
>Примеры более фичастых и удобных
А от секурного шелла не требуется быть адски фичастым. От него требуется быть нормальным СЕКУРНЫМ ШЕЛЛОМ. А не каким-то там качальщиков файлов, портфорвардером и недовпном, строго говоря. Если мне надо будет впн или портфорвардер - их отдельных на разные вкусы и задачи есть.
>(а ещё — надёжных, вы об этом скромно забыли) утилит в студию.
Ну вот о надежности я уже сказал - когда жрется 30% проца и висит пачка левых процессов только потому что хацкер Вася видите ли вышел побрутфорсить - насчет надежности возникают некоторые предъявы.
