บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

วิธีบังคับให้ผู้ใช้ Linux เคารพอัตราการเข้าสู่ระบบสูงสุด

ธง mu
EdwardTeach

เราจะตั้งค่าเค้นตามอัตราและ/หรือโควต้าสำหรับการเข้าสู่ระบบ SSH ต่อผู้ใช้บนระบบที่ใช้ร่วมกันได้อย่างไร ตัวอย่างเช่น: จำกัดการเข้าสู่ระบบ SSH ไว้ที่หนึ่งครั้งต่อ 10 วินาที

สิ่งที่ฉันได้ดู:

  • แพมเค้นและเค้น 2 แต่สิ่งเหล่านั้นมองหาการเข้าสู่ระบบที่ล้มเหลวจากนั้นเค้น ฉันต้องการค้นหาการเข้าสู่ระบบที่ประสบความสำเร็จแทนจากนั้นเค้น
  • ล้มเหลว 2 แบน แต่บล็อก IPS/ช่วง ซึ่งตรงข้ามกับผู้ใช้ ซึ่งไม่ได้ช่วยอะไรฉันเลย (แก้ไขเพื่อบันทึก IP เทียบกับบล็อกผู้ใช้)
85
0 + 0
John Hanley avatar
cn flag
John Hanley
การเข้าสู่ระบบ SSH ทุก ๆ สองวินาทีจะไม่ทำให้เซิร์ฟเวอร์หยุดทำงาน เว้นแต่ว่าเซิร์ฟเวอร์จะทำงานหนักเกินไป กล่าวอีกนัยหนึ่งให้มุ่งเน้นไปที่ปัญหาที่ดีที่สุดในการแก้ไข ตรวจสอบให้แน่ใจว่าคุณได้รับประโยชน์จากทุกคนโดยพยายามบล็อกสคริปต์ ฉันขอแนะนำให้คุณประชุมกับผู้รับผิดชอบสคริปต์เพื่อเลือกโซลูชันที่จัดการได้มากขึ้น การบล็อกสคริปต์ที่ให้บริการที่มีค่าอาจเป็นทิศทางที่ผิด ไม่ว่าคุณจะเลือกทิศทางใด แต่ละวิธีจะมีค่าใช้จ่ายของ CPU (ค่าใช้จ่ายในการเข้าสู่ระบบ ค่าใช้จ่ายในการตรวจสอบการรับส่งข้อมูลเพื่อบล็อกการเข้าสู่ระบบ)
0
ตอบกลับ
mu flag
EdwardTeach
@JohnHanley ขอบคุณสำหรับความคิดเห็นของคุณ คุณพูดถูก การพูดคุยกับผู้ใช้ที่มีปัญหาเป็นแนวทางปฏิบัติแรกที่ดี ที่กล่าวว่าฉันสนใจที่จะสังเกตว่าฉันไม่พบข้อมูลการควบคุมปริมาณทั่วไปสำหรับ SSH ยกเว้นสถานการณ์ประเภทการเข้าสู่ระบบที่ล้มเหลว/fail2ban ฉันสงสัยว่าสิ่งนี้จะทำอย่างไรกับผู้ให้บริการโฮสติ้งที่ใช้ร่วมกันขนาดใหญ่ มีไกด์แบบนี้ด้วยเหรอ? ฉันได้แก้ไขคำถามเพื่อสรุปตามนั้น และไม่เน้นย้ำถึงอาการเฉพาะของฉันในปัจจุบัน
0
ตอบกลับ
John Hanley avatar
cn flag
John Hanley
ในการพัฒนา ฉันมักจะทำสิ่งต่างๆ เช่น การเข้าสู่ระบบ SSH ซ้ำแล้วซ้ำอีก ฉันไม่เคยถูกควบคุมหรือจำกัดอัตราสำหรับการเชื่อมต่อที่ถูกต้องกับผู้ขายรายใด ดังที่ฉันได้กล่าวไปแล้ว การเข้าสู่ระบบที่สำเร็จทุก ๆ สองวินาทีจะใช้เวลา CPU ทั้งหมดเพียงเล็กน้อย - apx 10 ms สำหรับ CPU ประเภท i7 ที่ทันสมัย IHMO คุณมีความกังวลเกี่ยวกับปัญหาที่อาจไม่จำเป็นต้องแก้ไขผ่านการจำกัดอัตรา การเชื่อมต่อที่ล้มเหลวเป็นคนละเรื่องกัน
0
ตอบกลับ
Score:2
avatar Server
ธง jp
AlexD

ล้มเหลว 2 แบน อนุญาตตัวกรองที่กำหนดเองและการดำเนินการที่กำหนดเอง คุณสามารถสร้างตัวกรองแบบกำหนดเองเพื่อแยกวิเคราะห์บันทึกที่เหมาะสมสำหรับการเข้าสู่ระบบ ssh ที่สำเร็จด้วยการกระทำที่เหมาะสม

คุณสามารถค้นหาตัวอย่างตัวกรองต่างๆ มากมายได้ใน /etc/fail2ban/filter.d/ และตัวอย่างการกระทำต่างๆ มากมายใน /etc/fail2ban/action.d/

หากคุณไม่ต้องการใช้การบล็อก IP คุณสามารถล็อคบัญชีผู้ใช้ด้วย ชื่อผู้ใช้ passwd -l. หรือคุณสามารถสร้างสคริปต์ /bin/sshratelimit ซึ่งพิมพ์คำเตือนที่มีคำรุนแรงและตั้งค่าสคริปต์นี้เป็นเชลล์ของผู้ใช้

0 + 0
mu flag
EdwardTeach
ขอบคุณสำหรับคำตอบ! ฉันรู้สึกว่า Failed2ban ทำเฉพาะการควบคุมการบล็อก/ไฟร์วอลล์ตาม IP เท่านั้น ฉันไม่พบข้อมูลเกี่ยวกับการบล็อก/เลิกบล็อกบัญชี ฉันพลาดอะไรไปรึเปล่า? ฉันจะอธิบายคำถามให้ทราบด้วยว่าการบล็อก IP จะไม่ทำงานในกรณีของฉัน
0
ตอบกลับ
jp flag
AlexD
@EdwardTeach ฉันได้อัปเดตคำตอบแล้ว
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา