Hei

Jeg har en vsftpd server og har søkt litt rundt på nettet og sjekket om det er noen måter å gjøre slik at en bruker kan prøve å logge seg på max 3 ganger før han/hun blir utestengt i x antall minutter. Jeg har ikke funnet noe så langt og det sto ikke noe i FAQ'en til den offisielle siden til vsftpd, noen som vet hvordan en kan begrense innlogginger på denne måten ?

Du vil at en IP-adresse kun kan prøve å logge inn som en bruker 3 ganger i løpet av x antall min. før vedkommende blir stengt ute i x antall min., eller kan IP-adressen prøve å logge inn som 3 forskjellige brukere og deretter bli stengt ut, prøve å logge inn to ganger som bruker A, to ganger som bruker B og tre ganger som bruker C før adressen blir utestengt?
Vennligst utdyp.
Det er vel ikke særlig greit for den legitime brukeren når noen prøver å logge inn som ham gjennom hele døgnet og kontoen dermed forblir sperret.

Det jeg tenker på blir at en kun kan prøve å logge inn som en bestemt bruker max trenger ganger, hvis en prøver en annen bruker, så kan også denne prøves tre ganger. Hm, du har et poeng ved at den kan bli sprret slik at at brukeren som faktisk vil logge inn og som er brukeren som faktisk eier kontoen da ikke får logget inn. Det burde vel i stedet blir blokkert en IP adresse ved 3 feilet forsøk.

Det jeg er interessert i nå er da å få sperret IP-adressen til en som prøver å logge seg inn som en bruker og feiler tre ganger på passordet, hvis en prøver en annen bruker, så vil det også være maks 3 ganger, på den måten vil fortsatt den korrekte brukeren kunne logge inn, forusatt at det ikke er et nettverk som bruker NAT slik at alle har samme eksterne IP feks. :P

Dette kunne vel vært gjort relativt enkelt ved å legge IP-adressen i hosts.deny ell. ..men vet ikke hvordan jeg da ville sjekket mot loggfiler osv for å legge riktig IP-adresse inn i hosts.deny for eksempel.

Vet ikke om det hjelper deg, men du kunne jo altids brukt iptables til å kun tillate 3 oppkoblinger mot port 21 på fem minutter fra en ip adresse. Da vil ikke en bruker kunne prøve å logge inn mere enn 3 ganger på de fem minuttene, med mindre han bytter ip adresse på en eller annen måte.

Hmm, viste ikke at det er mulig med iptables, men jeg har funnet en løsning tror jeg og det er å bruke tjenesten "xinetd" som tilbyr et ekstra lag med sikkerhet hvor jeg på en veldig greit måte kan ha oversikt over alle tjenester.

Det er ikkje mulig med iptables, men du kan ha et script som leser loggane, og ser etter mislykka innlogginger, og ved tre iløpet av t.d 5 minutt, så hiver den inn block i iptables.

xinetd fører til høgare oppstartstid for daemonen, og ikkje vesentleg bedre sikkerhet... Inetd er fint for tenester som køyrer sjeldent...