sshd warten nach Falschanmeldung

[Mardor]

Hallo,

kennt jemand eine Möglichkeit FreeBSD so umzustellen, dass ab einer definierten Anzahl von Fehlerversuchen beim Einloggen von SSH die Anmeldung länger dauert (also bis der Eingabeprompt erscheint).

Unter SSH habe ich keine Option gefunden um dies zu realisieren. Eine Idee welche ich schon hatte war die Verknüpfung mit expiretable und einem perlscript, aber vielleicht geht es ja auch ohne dies.

Gruß Mardor

 

[Yamagi]

Mittels PAM. Frag mich nicht genau, was du eintragen musst. Aber es müsste über ein Ändern der sshd-Klasse in /etc/pam.d/sshd gehen.

 

[mousaka]

Geht sowas nicht auch über eine Firewall-Regel? Bei pf ist das Stichwort dazu max-src-conn-rate.
MaxAuthTries in der sshd_conf reicht ja wohl vermutlich nicht.

mousaka

 

[Yamagi]

Natürlich, viele Wege führen nach Rom

 

[Daemotron]

Mit PAM funktioniert es nicht, wenn Anmeldung nur über Public Keys läuft (damit würde ein solcher Mechanismus IMO aber sowieso überflüssig...)

 

[Kamikaze]

Du würdest damit übrigens eine DOS-Lücke schaffen. Über absichtlich herbeigeführte Fehlanmeldungen kann so ein berechtigter Nutzer ausgesperrt werden. Die Verbindung auf Public-Key-Authentifizierung zu beschränken scheint mir eigentlich der sicherste und komfortabelste Weg (gar keine Passwort-Eingabe mehr).