Debian 9 中的 SSH 登录尝试次数是否有限制?
例如,假设我的 SSH 服务器可以在 100 毫秒内响应,那么理论上有人可以每 100 毫秒尝试一次用户/密码组合,或者每秒 10 次、每分钟 600 次、每小时 36,000 次。这显然不足以破解典型的密码,但可能会以令人讨厌的方式填满日志。
有什么机制可以阻止这种探测吗?
(注意:我不认为在这里使用 PAM 用户尝试拒绝是相关的,因为那是特定于用户名的。自动脚本不会一遍又一遍地尝试相同的用户名,但会循环用户名以避免触发 PAM 计数。)
是的。手册页
ssh_config指定:这是针对单个连接的,通常需要大约一秒钟(算法协商、密钥交换)。
对于面向公众的 ssh 服务器,明智的做法是设置一些东西来避免这种情况,通常 fail2ban 是非常常见且有用的技术——对于几次失败的尝试,它会暂时禁止源 IP,所以除非攻击者拥有大量 IP 僵尸网络,否则他是每几个小时尝试几次,运气不好。