On Wed, Jun 23, 2010 at 11:31:56AM +0300, Michael Shigorin wrote:
> On Wed, Jun 23, 2010 at 03:18:38AM +0400, Dmitry V. Levin wrote:
> > Суть анонсированного изменения в усилении действующей по
> > умолчанию защиты "PermitRootLogin without-password": в
> > дополнении к отключению возможности удалённого подбора пароля
> > рута теперь отключается возможность удалённого подбора паролей
> > пользователей, которые, будучи взломанными, открывали бы
> > возможность прямого локального подбора пароля рута.
> 
> Может, комплексный подход с использованием нескольких пунктов
> из набора:
> 
> 1. PermitRootLogin
> 2. это изменение
> 
> 3. AllowGroups
> 4. Port

Я бы не стал объединять 3. и 4. в одну группу.

> 5. iptables conn throttling

На это тему давно висит FR:
https://bugzilla.altlinux.org/show_bug.cgi?id=11669
Только мне не понятно, как это реализовать дистрибутивно.

> 6. sshutout
> 
> Примерно как 1+2?+(3/4)?+5/6.
> 
> С удобным осознанием и включением такого хозяйства.
> Но не без осознания, увы.

Осознание бывает удобным?


-- 
ldv