PF Не останавливая попытки BruteForce
Альтернативный метод, предложенный Жилем, заставляет пользователей вводить как можно меньше, предлагая им варианты.
available_platforms="mac win linux32 linux64"
positive() {
printf "%s (Answer y for yes or anything else for no) " "$1"
read answer
if [ "$answer" != "y" ] && [ "$answer" != "Y" ]; then
return 1
fi
}
if positive "Do you want to build for all platforms [$available_platforms]?"; then
build_platforms="$available_platforms"
else
for platform in $available_platforms; do
if positive "Do you want to build for [$platform]?"; then
build_platforms="${build_platforms}${platform} "
fi
done
fi
printf "build_platforms: %s\n" "$build_platforms"
Проблема заключалась в ошибке в файле /etc/pf.conf, из-за которой брандмауэр вообще не загружал свою конфигурацию.(:networkприменяется к определенному интерфейсу ).
Пример использования pfдля блокировки соединений грубой -силы приведен в FAQ по OpenBSD PF и сводится к правилам (, измененным из первоначально wwwпример того, что я использую дляssh):
table <bruteforce> persist
block in quick from <bruteforce>
pass in on egress proto tcp to any port ssh flags S/SA keep state \
(max-src-conn 5, max-src-conn-rate 5/30, \
overload <bruteforce> flush global)
Это поместит любой хост, который подключается чаще, чем пять раз каждые 30 секунд, в таблицу <bruteforce>, что заблокирует его. Он также допускает только пять подключений на исходный адрес.
Другой вариант — использовать SSHGuard . Есть порт SSHGuard для OpenBSD, но это очень старый (релиз 1.5 от 2011 года ). Я всего лишь (несколько минут назад )отправил на него обновление, которое, надеюсь, будет зафиксировано в течение нескольких дней.