ично не поміщаються в known_hosts, ask - ключ може бути поміщений в known_hosts тільки після підтвердження користувача, no - всі ключі автоматично розміщуються в known_hosts (небезпечно). Типово ask. p align="justify"> 12. IdentityFile $ HOME/.ssh/id_rsa
IdentityFile $ HOME/.ssh/id_dsa
параметри визначають секретні ключі ssh різних форматів: і dsa.
13. Port 1022
Порт, на віддаленій машині використовуваний ssh. Типово 22. p align="justify"> 14. KeepAlive yes
Управляє посилкою повідомлень про доступність клієнта серверу, що дозволяє нормально розірвати з'єднання, якщо відбулася неполадка в мережі чи інша, яка призвела до розриву з'єднання. Якщо зв'язок поганий, то краще цю опцію відключити, щоб дисконнект не відбувається після кожної помилки мережі. Типово yes. br/>
2. Підсистема Fail2ban
Основним завданням Fail2ban є виявлення та блокування окремих IP-адрес, з яких виробляються спроби несанкціонованого проникнення в захищається систему. Такі "ворожі" IP-адреси визначаються за результатами спостереження за файлами журналів - log-файлами (наприклад,/var/log/secure,/var/log/faillog і т.д.). Якщо з будь-якого IP-адреси виконується занадто багато спроб зареєструватися в системі, що захищається або виробляються які-небудь інші підозрілі дії, то хост з цим IP-адресою блокується на деякий інтервал часу, визначений системним адміністратором, тобто жоден пакет, посланий з такого заблокованого хоста, не буде прийнятий. Таке блокування виконується за допомогою зміни правил (rules) мережевого екрану (iptables). p align="justify"> Описана вище функціональна схема дозволяє захищатися від так званих "brute force" атак, тобто від численних спроб увійти в систему з різними варіантами паролів. Атаки такого роду досить часто практикуються мережевими зломщиками. br/>
2.1 Завантаження Fail2ban
Існують готові до установки бінарні пакети для найбільш широко поширених дистрибутивів, таких як Debian, Ubuntu, SuSE, тому можна скористатися відповідним менеджером пакетів для установки Fail2ban. Fail2ban написаний на мові програмування Python, тому для роботи вимагає встановленої підсистеми інтерпретації та підтримки цієї мови. p align="justify"> Рекомендується, але не є обов'язковою вимогою, наявність у системі наступного програмного забезпечення: мережевий екран (підтримується iptables або shorewall), tcp-wrappers, команда обміну повідомленнями електронної пошти mail, система відслідковування змін у файлах на основі inotify (підтримується монітор Gamin).
2.2 Загальна структура та схема функціонування Fail2ban
З точки зору архітектури Fail2ban являє собою систему "клієнт-сервер". Серверна частина - fail2ban-server - це багатопо...
