owGroups, DenyUsers і DenyGroups (для груп не можна вказувати адресу клієнта). p align="justify">. Hostbased Authentication yes
Використання ssh (2 версія) аутентифікації через rhosts і RSA ключі. Типово no. p align="justify">. FallBackToRsh no
Чи буде клієнт намагатися працювати за rsh, якщо ssh недоступний або з якихось причин працює неправильно. Типово no. p align="justify">. BatchMode no
Режим скрипта, коли не питають паролі з терміналу. Типово no. p align="justify">. CheckHostIP yes_hosts, що виключає підміну ip. Типово yes. p align="justify">. StrictHostKeyChecking ask
Даний параметр означає, чи буде клієнт довіряти отриманим від серверів ключам. Параметр може приймати такі значення: yes - ключі ніколи автоматично не поміщаються в known_hosts, ask - ключ може бути поміщений в known_hosts тільки після підтвердження користувача, no - всі ключі автоматично розміщуються в known_hosts (небезпечно). Типово ask. p align="justify">. IdentityFile $ HOME/.ssh/id_rsa $ HOME/.ssh/id_dsa
Параметри визначають секретні ключі ssh різних форматів: rsa і dsa.
. Port 1022
Порт, на віддаленій машині використовуваний ssh. Типово 22. p align="justify">. KeepAlive yes
Управляє посилкою повідомлень про доступність клієнта серверу, що дозволяє нормально розірвати з'єднання, якщо відбулася неполадка в мережі чи інша, яка призвела до розриву з'єднання. Якщо зв'язок поганий, то краще цю опцію відключити, щоб дисконнект не відбувається після кожної помилки мережі. Типово yes. br/>
2. Підсистема Fail2ban
Основним завданням Fail2ban є виявлення та блокування окремих IP-адрес, з яких виробляються спроби несанкціонованого проникнення в захищається систему. Такі "ворожі" IP-адреси визначаються за результатами спостереження за файлами журналів - log-файлами (наприклад, /var/log/secure , /var/log/faillog і т.д.). Якщо з будь-якого IP-адреси виконується занадто багато спроб зареєструватися в системі, що захищається або виробляються які-небудь інші підозрілі дії, то хост з цим IP-адресою блокується на деякий інтервал часу, визначений системним адміністратором, тобто жоден пакет, посланий з такого заблокованого хоста, не буде прийнятий. Таке блокування виконується за допомогою зміни правил (rules) мережевого екрану (iptables).
Описана вище функціональна схема дозволяє захищатися від так званих "brute force" атак, тобто від численних спроб увійти в систему з різними варіантами паролів. Атаки такого роду досить часто практикуються мережевими зломщиками. br/>
2.1 Завантаження F...
