IPFILTER (IPF) 和IPFIREWALL (IPFW) 有什么区别？

iamrch

系统本身固然安全，但如果任由别人穷举下去，再强的密码也有破解之日啊！总要想办法防范、打乱穷举的行为吧！

HonestQiao

原帖由 iamrch 于 2006-8-15 19:15 发表
系统本身固然安全，但如果任由别人穷举下去，再强的密码也有破解之日啊！总要想办法防范、打乱穷举的行为吧！

那就用key做认证啊，任凭他怎么穷举都是无效的。

认证方法，我发过的，精华。、

iamrch

原帖由 HonestQiao 于 2006-8-15 19:57 发表


那就用key做认证啊，任凭他怎么穷举都是无效的。

认证方法，我发过的，精华。、

嘿嘿，刚好看了，正在虚拟机上试验，因为我怕搞错了，最后把自己关在外面，我离主机可是2k公里啊……（谢谢HonestQiao）

不过除了SSH，其他的mail、ftp什么的，是不是也能防止被人穷举呢？（我刚开始学，postfix和pure-ftp还没搞定）

HonestQiao

原帖由 iamrch 于 2006-8-15 20:07 发表



嘿嘿，刚好看了，正在虚拟机上试验，因为我怕搞错了，最后把自己关在外面，我离主机可是2k公里啊……（谢谢HonestQiao）

不过除了SSH，其他的mail、ftp什么的，是不是也能防止被人穷举呢？（我刚开始学， ...

被人穷举只能算你倒霉了．

写一个简单的监视脚本吧，发现穷举的立刻禁止ip呗．

iamrch

我搞定SSH的KEY验证啦，好开心啊！

参照了HonestQiao的精华文章，不过因为我一直使用putty，没有用F-Secure SSH Client，所以多琢磨了一些时间，不过道理是一样的，只不过putty是把登陆、制作key、sftp都分成了几个小程序，不如F-Secure SSH Client集成在一个程序中那么方便。

最初我还担心设定为key验证之后，sftp会无法登陆，不过配合putty都是可以的，看来设计者早就想到了，我是杞人忧天啊，

这下子，心里踏实多了，再也不怕别人穷举了！


但是——虽然照猫画虎的设置了，但始终有几个问题不明白：

1、制作key的时候，默认key的大小是1024bits，怎么生成的文件大小是294字节呢？这个key最大能支持到多大？是否一定是2的倍数？

2、ChallengeResponseAuthentication no 和 UsePAM no 分别是什么意思呢？
配置文件里面解释说：

# Change to no to disable PAM authentication
ChallengeResponseAuthentication no

# Set this to 'no' to disable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "ermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
UsePAM no

我英语不灵，哪位能帮我翻译一下，谢谢！

原帖由 HonestQiao 于 2006-8-15 20:25 发表

被人穷举只能算你倒霉了．

写一个简单的监视脚本吧，发现穷举的立刻禁止ip呗．

不过我就奇怪，我的服务器刚放上去几天，没有开通任何网站，怎么就落到了被人穷举的地步呢？我没有得罪过谁吧？怎么我就这么倒霉呢？？？！！！

iamrch

从httpd-access.log里面，我忽然发现：

218.166.48.193 - - [17/Aug/2006:16:24:00 +0800] "GET /~我的用户名 HTTP/1.1" 404 202 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

看来已经有人猜出了我的用户名，他是怎么想出来的呢？我的ssh已经设置为key登陆，应该不能再穷举了呀？