Názor k článku OpenSSH má vlastní obranu proti hádání hesel. Jak přesně funguje? od Danny - Ale samozrejme, ze i ten "scan" v ramci...
-
DannyStříbrný podporovatelAle samozrejme, ze i ten "scan" v ramci aplikace poznate - jednoduse z toho, ze se neco pripoji a hned odpoji a ani se nepokusi o nejaky handshake. Ostatne to sshd taky zalogovat umi.
A ano, my uzivatele s IPv6 se uz tak netrapime problemy typu "na jedne verejce forwarduji nekolik desitek sluzeb" ;-) Specificky v pripade ssh se pak nabizi otazka, zda-li je fakt nutny mit do internetu vystaveny vsecko - a jestli treba nahodou nestaci jen mit jen jeden jump-host (pripadne dva kvuli redundanci, ale pokud je rec o jedne verejce, tak asi redundanci neresite...). Aneb je to tak trosku i o designu infrastruktury... a smysluplnosti tech "pozadavku". Ono i kdyz se bavime o te unixove filosofii, tak mit to "jednoduche" mimo jine znamena si to prave nezablesit infrastrukturu tim forwardem desitek sshd do sveta na ruznych portech, ze? :-) U toho jednoho jump hostu snaze vyresite i ten hardening... a treba clovek ani nemusi propadnout az tak velke panice, kdyz se najednou objevi dira v implementaci...
A jinak komentovany clanek popisuje i ty defaulty a zminuje jejich velkou konzervativnost. Ale nejde nezminit, ze vyvoj v OpenSSH jde proste spravnym smerem, kdy se funkcionality z jedne vseobjimajici binarky postupne oddeluji. I to dopady tech Murphyho zakonu logicky zmirnuje.
