>1) Быстрее, так как не требует дополнительного сканирования логов и работает на >уровне PAM Оно не сканирует логи, а слушает pipe в syslogd >2) Как следствие лучше интегрируется в существующую модель безопасности, так как ничего >дополнительного не запускается Оч. спорный вопрос. Требует наличия PAM авторизации в используемом сервисе. >3) Работает на любой POSIX-совместимой платформе, так как используются только стандартные >компоненты (ndbm для хранения таблиц и конфигов, например) Конфиги хранятся в текстовом файле, таблицы - в ipfw. Работа на любой posix (кстати, я не уверен, что pam описан в posix) мне просто не требовалась >4) Lookup hostname'ов происходит на этапе конфигурирования и не требует дополнительных временных >задержек впоследствии. Далее поиск правила происходит очень быстро по хешу. Простите, какой lookup? никакая работа с dns не производится. скорость поиска во внутренних структурах настолько быстр, что делать хеш я не вижу смысла. Как и не вижу проблем его сделать в случае необходимости. >5) Корректно работает с любыми адресами (не только IPv6 и Ipv4), правда >маска поддерживается только для последних двух. Т.е. её можно использовать с >любыми сетевыми протоколами (даже самопальными, если они корректно интегрированы в стек) Данная задача не была для меня актуальна. Да и что значит "корректно интегрированы в стек"? > >6) Может работать вообще без firewall и с firewall не поддерживающем таблиц > >7) Работает с абсолютно любыми сервисами (т.к. через PAM). В случае если сервис обращается к PAM. Вот вам пример ситуаций при которых не происходит обращения к PAM: http auth, подбор пользователей в rcpt-to, пользователи ssh которых нет в allow users... Уверен, что таких ситуаций превеликое множество > >--------------------------------------------------------------- >Пример настройки для FreeBSD: > # pam_af_tool ruleadd -h '*' -a 15 -t 4y > # pam_af_tool ruleadd -h localhost -a unlimited -t 0 > # pam_af_tool ruleadd -h 124.45.34.2/21 -a 8 -t 16H23M12S > # pam_af_tool ruleadd -h 207.46.0.0/16 -a 5 -t 15H -l '/sbin/ipfw >add > >100 deny all from $PAM_RHOST to any' > >И всё! Никаких демонов etc.. Я не вижу каким образом правило с ipfw исчезнет через n минут. И кроме того, я считаю, что таблицы в данном случае много уместнее. Дополнительно я хотел бы подчеркнуть, что я совершенно не умаляю достоинст вышеописанной тулзы, просто я считаю, что у них несколько разная идеология, и как следствие - область применения.
|