Я перечислял остающиеся проблемы безопасности на одном из моих рабочих серверов бэкенда, когда я пришел к пониманию, что что-то, что могло быть невероятно полезным, пропускало от моих операционных систем восходящий репозиторий.
Я искал Модуль PAM, который проверяет Удаленный IP-адрес Хоста по Черному списку DNS (DNSBL).
Мой вариант использования - это... В то время как программное обеспечение IDS может ответить после обнаружения датчика, сканирования уязвимости или атаки перебором -
некоторые сервисы (i.e. Apache2, proFTPd, Sendmail, SpamAssassin)
включайте модуль DNSBL или функцию, которые помогают значительно сократить число машин, которые могут участвовать в нападении. это делает это путем блокирования известный зараженный или машины зомби, общедоступные прокси, и TOR выходит из релейных узлов (например).
Другие, к моему знанию, не делают. Dovecot/Saslauthd
не включайте такую функциональность. Они часто предназначаются в атаках перебором моей сети. они обслуживают, все еще покрыты системой IDS, но переносят значительное большинство нападений.
С Модулем PAM, который проверяет удаленный IP хоста, во время аутентификации, против DNSBL... эффективно, ВСЕ сервисы могли иметь этот дополнительный слой устойчивости против распределенной атаки перебором или датчик (ограничение возможных машин, которые могут использоваться в упомянутом нападении),
Я задаюсь вопросом, существует ли существующий Модуль PAM для служения этой цели? и в противном случае почему это было пропущено разработчиками?
Это был бы невероятно простой модуль, который (по-моему), мог служить большой цели..
На данный момент я имею, записал сценарий, который взаимодействует через интерфейс с PAM (через "pam_exec.so" модуль). По некоторым причинам это не работает (просто заставляет Bash отказывать). Когда я получаю шанс, я планирую попробовать "pam_script.so" модуль вместо этого..
Я был бы готов записать Модуль PAM, чтобы сделать это, но не уверен, как трудно это должно получить часть программного обеспечения в Репозитории Ubuntu или Debian.
Спасибо
Я не знаю о таком модуле. На второй вопрос (почему) я буду искать ответы, которые в первую очередь основаны на мнении, так как не могу придумать окончательных причин, почему такой модуль PAM не мог существовать.
Ниже приведены конструктивные соображения, которые я определил при оценке целесообразности:
/etc/resolv.conf
. Если повторные попытки DNS реализованы, модуль не должен использовать С-библиотеку для DNS-поиска. Конечным результатом будут вложенные операции повторных попыток auth
. Стек auth
используется для аутентификации. Этот модуль не используется для аутентификации. Решения в обход стека auth
(SSH auth, GSSAPI auth и т.д.) аннулируют модуль, если пользователь поместит его туда.Вы могли бы реализовать это без особых проблем, но это плохая идея.
Во-первых, давайте вспомним, что такое PAM: это система для обработки логинов пользователей . Аутентификация, авторизация, учёт и т.д.
Итак, где это предложение падает:
Существует множество способов борьбы с атаками грубой силы на различные сервисы, наиболее часто используемым из которых является fail2ban, но это предложение кажется очень плохой идеей.
.Я и сам больше похож на парня с красной шляпой, но я долго думал о похожем модуле. Хороший вопрос. Я не видел модуля, который бы справлялся с этим.
Что касается публикации программного обеспечения, это может помочь.
Мне никогда не везло с основными репозиториями, но у rpmforge (сейчас repoforge) есть несколько довольно простых способов участия. Смотрите здесь.
Для debian / ubuntu я не видел ни одного большого стороннего репозитория. Все они, кажется, специфичны для конкретного продукта. Мои вещи, казалось бы, никогда не подходили, и я никогда не мог оправдать запуск своего собственного публичного репозитория.
Я склонен оставлять всё, что нужно упаковать для производных debian, на github.
.