Исходное сообщение
"295" Отправлено PereresusNeVlezaetBuggy, 13-Ноя-12 13:37
>> Опять между строк читаете. > Это не чтение между срок. Это лишь капитанинг основанный на опыте администрирования. Нет, вы действительно не читаете внимательно то, что вам пишут, а слушаете только себя. Вернее, может, и читаете, но в ваших комментариях это не отражается... >> Нагрузка на сервер за счёт SSH _предсказуема_. > Вранье. Зависит от погоды на марсе и настроения ботов-брутфорсеров. Сегодня пусто, а > завтра 100500 ботов усиленно перебирают пароли - и ssh жрет ресурсы > как не в себя. ... А вот и наглядное доказательство. В третий раз, для самых маленьких: SSH даёт предсказуемую нагрузку для каждого клиента. Объём и характер вычислений на этапе установления соединения _одинаковый_ для любого клиента (с оговорками про разные виды ключей, перебор публичных ключей и т.д., но это в описываемой ситуации не принципиально). Как следствие, _можно_ прогнозировать, какое количество одновременных подключений можно держать максимально. В случае с тем же HTTP этого сделать _нельзя_: потому что усилия, которые прилагает сервер для отдачи статической картинки не сравнимы с теми, которые нужны для переработки тяжёлого скрипта. >> В отличие от приведённого мною примера с HTTP > Вот знаете, убедить нжинкс или lighttpd так же нагрузить проц у меня > вообще ни разу не получалось. Там настолько хардкорно CPU жрать просто > нечему. Зато блин всякие качалки файлов, недо-впн и портфорвардеры. Для чего > навалом отдельных утилит есть. Более удобных. Это вы тоже говорите, основываясь на опыте администрирования? Если вы не видели, как может быть перегружен (на абсолютно легальной нагрузке) nginx, то говорить об опыте просто сме-шно. Ещё раз: User294, вы сме-шны. Причём смешны в самом противном смысле. Вы даже про HTTPS не подумали и сравниваете нешифрованный трафик с шифрованным... Сме-шно. И противно. >> 1) Речь идёт о переборе паролей с одного или нескольких, но не многих IP-адресов. > Вот, начались галимые отмазки. Не, ну понятно что впн намного круче встроить > чем например порткнокер простенький, который бы не давал делать ресурсоемкие операции > для автоматизированных уродцев "с улицы". Про port knocking мы с вами тоже не раз беседовали. И до вас так же до сих пор не дошло, что это одна из худших идей, которые приходили когда-либо кому-то в голову. Ещё раз (не для вас - это явно бесполезно - а для других) объясняю, почему: 1. Port knocking заметно сужает класс устройств, которыми вы можете воспользоваться. Не говоря о том, что в некоторых случаях у вас может не быть возможности стучаться на сторонние порты. 2. Даже если принять его за эффективную меру (а в случае целенаправленной атаки это не совсем так), опять-таки, вы предлагаете реализовывать его в каждом сетевом приложении? Ведь ЛЮБОЕ приложение может, при соответствующем использовании, нагрузить систему. Отстрел лишних подключений - задача фаервола, это он работает на L3 OSI. >> Однако в противном случае сдуется и fail2ban, и сам SSH-сервер, > Вот как раз штуки типа fail2ban могут в принципе посчитать что "идет > атака" и вынести всех ее участников понизив порог раздачи банхаммером на > время. Ага, щаз. И как fail2ban отличит легального админа от зомбо-компа из того же города? Ещё раз: пока не прошла аутентификация, вы не можете наверняка сказать, кто это подключается, легальный пользователь или нет. А если можете, то только на основании IP-адреса. А резать коннекты по IP-адресам, опять-таки, логичнее и удобнее на фаерволе. >> Есть, конечно, компромиссные решения, но они так же логичнее рулятся фаерволом, а не >> изобретаются заново в каждой софтине. > Если софтину приходится защищать файрволом - это индикатор того что софтиан ненадежная. Кажется, вы всё-таки не прикидываетесь. Увы. Фаервол должен выполнять свои обязанности, софт - свои. Задача софта - обеспечивать требуемую функциональность, отвечая за неё. Задача фаервола (среди прочего) - не заставлять софт заниматься посторонними делами. > Нет, лишний рубеж обороны это хорошо. Просто за ним не должны > быть неженки и лузеры. Вот только подтвердить свои слова про неженок и лузеров у вас не получается. Ну или записать в них весь софт на свете. >> 2) Фаервол позволяет производить оный отстрел. PF - родной для проекта OpenBSD, >> а, следовательно, и для OpenSSH - позволяет. Легко. Жду возмущений "а как же Linux?!". > Да он тоже позволяет, но с таким же успехом у меня и > утилиты для передачи файлов и создания впнов есть, знаете ли, без > всяких костылей в ssh. Это какие? Про передачу файлов - rsync, авторы которого сами не рекомендуют открывать доступ по "родному" протоколу в недоверенной сети? Сме-шно. >>> Зачем? Я вам вашим же вооружением и выдам. >> ... и попали себе в ногу. > Чего бы это ради? Может, вы мазохист. Или, что более очевидно, унылый тролль. Который никак не хочет понять, что слил по-крупному. Счастливо оставаться.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> Опять между строк читаете. >> Это не чтение между срок. Это лишь капитанинг основанный на опыте администрирования. > Нет, вы действительно не читаете внимательно то, что вам пишут, а слушаете > только себя. Вернее, может, и читаете, но в ваших комментариях это > не отражается... >>> Нагрузка на сервер за счёт SSH _предсказуема_. >> Вранье. Зависит от погоды на марсе и настроения ботов-брутфорсеров. Сегодня пусто, а >> завтра 100500 ботов усиленно перебирают пароли - и ssh жрет ресурсы >> как не в себя. > ... А вот и наглядное доказательство. В третий раз, для самых маленьких: > SSH даёт предсказуемую нагрузку для каждого клиента. Объём и характер вычислений > на этапе установления соединения _одинаковый_ для любого клиента (с оговорками про > разные виды ключей, перебор публичных ключей и т.д., но это в > описываемой ситуации не принципиально). Как следствие, _можно_ прогнозировать, какое > количество одновременных подключений можно держать максимально. В случае с тем же > HTTP этого сделать _нельзя_: потому что усилия, которые прилагает сервер для > отдачи статической картинки не сравнимы с теми, которые нужны для переработки > тяжёлого скрипта. >>> В отличие от приведённого мною примера с HTTP >> Вот знаете, убедить нжинкс или lighttpd так же нагрузить проц у меня >> вообще ни разу не получалось. Там настолько хардкорно CPU жрать просто >> нечему. Зато блин всякие качалки файлов, недо-впн и портфорвардеры. Для чего >> навалом отдельных утилит есть. Более удобных. > Это вы тоже говорите, основываясь на опыте администрирования? Если вы не видели, > как может быть перегружен (на абсолютно легальной нагрузке) nginx, то говорить > об опыте просто сме-шно. Ещё раз: User294, вы сме-шны. Причём смешны > в самом противном смысле. Вы даже про HTTPS не подумали и > сравниваете нешифрованный трафик с шифрованным... Сме-шно. И противно. >>> 1) Речь идёт о переборе паролей с одного или нескольких, но не многих IP-адресов. >> Вот, начались галимые отмазки. Не, ну понятно что впн намного круче встроить >> чем например порткнокер простенький, который бы не давал делать ресурсоемкие операции >> для автоматизированных уродцев "с улицы". > Про port knocking мы с вами тоже не раз беседовали. И до > вас так же до сих пор не дошло, что это одна > из худших идей, которые приходили когда-либо кому-то в голову. Ещё раз > (не для вас - это явно бесполезно - а для других) > объясняю, почему: > 1. Port knocking заметно сужает класс устройств, которыми вы можете воспользоваться. Не > говоря о том, что в некоторых случаях у вас может не > быть возможности стучаться на сторонние порты. > 2. Даже если принять его за эффективную меру (а в случае целенаправленной > атаки это не совсем так), опять-таки, вы предлагаете реализовывать его в > каждом сетевом приложении? Ведь ЛЮБОЕ приложение может, при соответствующем использовании, > нагрузить систему. Отстрел лишних подключений - задача фаервола, это он работает > на L3 OSI. >>> Однако в противном случае сдуется и fail2ban, и сам SSH-сервер, >> Вот как раз штуки типа fail2ban могут в принципе посчитать что "идет >> атака" и вынести всех ее участников понизив порог раздачи банхаммером на >> время. > Ага, щаз. И как fail2ban отличит легального админа от зомбо-компа из того > же города? Ещё раз: пока не прошла аутентификация, вы не можете > наверняка сказать, кто это подключается, легальный пользователь или нет. А если > можете, то только на основании IP-адреса. А резать коннекты по IP-адресам, > опять-таки, логичнее и удобнее на фаерволе. >>> Есть, конечно, компромиссные решения, но они так же логичнее рулятся фаерволом, а не >>> изобретаются заново в каждой софтине. >> Если софтину приходится защищать файрволом - это индикатор того что софтиан ненадежная. > Кажется, вы всё-таки не прикидываетесь. Увы. > Фаервол должен выполнять свои обязанности, софт - свои. Задача софта - обеспечивать > требуемую функциональность, отвечая за неё. Задача фаервола (среди прочего) - не > заставлять софт заниматься посторонними делами. >> Нет, лишний рубеж обороны это хорошо. Просто за ним не должны >> быть неженки и лузеры. > Вот только подтвердить свои слова про неженок и лузеров у вас не > получается. Ну или записать в них весь софт на свете. >>> 2) Фаервол позволяет производить оный отстрел. PF - родной для проекта OpenBSD, >>> а, следовательно, и для OpenSSH - позволяет. Легко. Жду возмущений "а как же Linux?!". >> Да он тоже позволяет, но с таким же успехом у меня и >> утилиты для передачи файлов и создания впнов есть, знаете ли, без >> всяких костылей в ssh. > Это какие? Про передачу файлов - rsync, авторы которого сами не рекомендуют > открывать доступ по "родному" протоколу в недоверенной сети? Сме-шно. >>>> Зачем? Я вам вашим же вооружением и выдам. >>> ... и попали себе в ногу. >> Чего бы это ради? > Может, вы мазохист. Или, что более очевидно, унылый тролль. Который никак не > хочет понять, что слил по-крупному. > Счастливо оставаться.
	Введите код, изображенный на картинке: