Comments 11
Конечно, это проблемы не столько разработчиков OpenSSH, сколько IT-департаментов предприятий и всей IT-индустрии.
Ну, формально говоря, да. Но нормального решения для управления ключами не существует. Разве что поделки на базе openldap.
Зачем ключи, если можно пароль использовать?
Потому что если это кровавый ынтерпрайз и все централизованно - есть SSH-сертификаты. Авторизация по ключу изначально per-server и для централизации нужно как-то выделять общий знаменатель для хранения(вариантов не так чтобы много - в основном LDAP, хотя для упоротых есть EMCSSH)
В насколько последних? Вот посмотрел на свежих Debian 12 и FreeBSD 14.1-p3. Нет такой опции...
Судя по документации, опция
PerSourcePenaltiesуже включена по умолчанию с дефолтными значениями, указанными выше.
А судя по последней строчке комита опция как раз выключена - "PerSourcePenalties is off by default, but we expect to enable it automatically in the near future."
Как-то задействовать PerSourcePenalties у меня не получилось, ибо не ясно как это должно выглядеть в конфиге. Просто писать одной строчкой PerSourcePenalties или как то совмещать с параметрами в нее входящими и если так то как оно должно быть?PerSourcePenalties
crash:2s
authfail:2m
etc
Я попробовал массу разных вариантов и во всех случаях после рестарта службы у меня SSH просто не пускает выдавая ошибку ssh: connect to host port 22: Connection refused
Выглядит так, что оно просто не работает.
Судя по release notes от OpenSSH есть изменения этого функционала в самой крайней версии пакета - 9.8p1. Так что и надо ссылаться именно на эту версию самого начала.
Защита от брутфорса и эксплоитов OpenSSH