回来了

[leo]

回来后8,900KB/s的下载速度，在北京和长沙只有20/30K的速度，这事咋整呢？:D
回国之前用另一个域名在家里开了一个服务器，开放80和22端口，没有设置sshkey,无数尝试者均以失败告终，有个来自韩国的Ip尤其猖狂，居然试了10多天，因为本身是禁用root登陆，所以也没有太在意，猜用户名和密码？这不就是直接找脑残呢吗？:)

历经一个多月，实践证明，并非一定要设置sshkey.........

[wkx9dragon]

斑竹，真厉害，用户名和密码设的太难猜了，让人家猜了十天。牛。不愧是安全意识高。

[f5b]

哈，leo终于回来了，5.2等你剪彩呢

[leo]

斑竹，真厉害，用户名和密码设的太难猜了，让人家猜了十天。牛。不愧是安全意识高。

从纯理论的角度上考量，我的用户名和密码要用暴力破解估计要1年，所以如果OpenSSH本身没有安全问题，我也不太担心。

哈，leo终于回来了，5.2等你剪彩呢

走之前刚做当前升级，回来后赶紧升级成最近的snapshot，目前暂时没用发行版和稳定版，主要是不想编译、没那耐心，机器也太老了。
不过今天本想试试nginx,结果发现当前还没有处理好。（这不是一、两次了）——OpenBSD有时候也不省心，远程升级当前，我还没有找到好方法。
至于5.2的剪彩，已经没有什么新鲜感了，感觉OpenBSD多少有些保守，似乎更新的内容不多（新技术）。

[f5b]

从纯理论的角度上考量，我的用户名和密码要用暴力破解估计要1年，所以如果OpenSSH本身没有安全问题，我也不太担心。

走之前刚做当前升级，回来后赶紧升级成最近的snapshot，目前暂时没用发行版和稳定版，主要是不想编译、没那耐心，机器也太老了。
不过今天本想试试nginx,结果发现当前还没有处理好。（这不是一、两次了）——OpenBSD有时候也不省心，远程升级当前，我还没有找到好方法。
至于5.2的剪彩，已经没有什么新鲜感了，感觉OpenBSD多少有些保守，似乎更新的内容不多（新技术）。

nginx啥东西没有处理好呢
估计这两天5.2 release源代码就释放出来，当然，某个snapshot可能就是11月份的release



对了，+8国内时间昨晚十点多访问gobsd特慢，访问其它美国网站都非常快啊。

[leo]

i386的snapshot里nginx的配置文件不全，估计是没有来得及放进去.....

为什么国内这样慢我也不知道，我这里一般情况下下载速度都在800多K，当然偶尔也有上不去的时候，毕竟是共享的虚拟主机，碰上一个站点正处于下载高峰，其他的站点肯定会受影响，但是这种情况不在我这里似乎并不多。也许是线路的问题——这条线的国际出口有带宽限制。

[unreal]

棒子和阿三是地球上的一对奇葩～

sshkey至今木有接触，从生成key的方式来看似乎是跟机器硬件绑定，那对于经常使用各种不同类型的设备的人设置比较麻烦，或者带着自己的设备到处跑，可以用手机来ssh不错噢。

[acheng]

我家里的迷你机用的是密钥验证 （但运行的是Ubuntu ～）。今天在MISC上看到有人在讨论sshguard这个程序，应该是专门防范猜密码这种玩意的～

[leo]

如果跑OpenBSD, 用PF可以直接防住，不用安装第三方软件，即便不换端口，再配合sshkey的话，如果OpenSSH自己没有漏洞基本上可以认为无忧。

[f5b]

一、在开启密码验证的情况下，sshguard 结合pf效果比仅仅用pf好，可对付“尝试密码频率低”的攻击。

如果不用sshguard，则需要2个地方做设置

1. /etc/pf.conf添加类似以下信息

代码: 全选

table <bruteforce> persist
block quick log  proto tcp from <bruteforce> to any port ssh

pass quick proto tcp to $all_if port ssh keep state (max-src-conn 3, max-src-conn-rate 1/5, overload <bruteforce>)

crontab -e添加

代码: 全选

*/11    *       *       *       *       /sbin/pfctl -t bruteforce -T expire 600 > /dev/null 2>&1

详情看看http://home.nuug.no/~peter/pf/ 和peter的书等

二、如果仅开启pubkey验证，sshguard默认设置无法起作用，pf也没有必要做以上设置了。