Антихакинг в сети

Обратите внимание на то, что любой пользователь, имеющий локальную учетную запись, с тех пор как он присутствует в /etc/shells, может изменить свое ядро на authpf. Если требуется запретить это изменение, можно создать файл с именем пользователя и поместить его в каталог /etc/authpf/banned. Содержание этого файла будет выводиться при регистрации пользователя в шлюзе. Кроме того, можно явно разрешить работу пользователей, перечислив их имена (по одному в строке) в /etc/authpf/authpf.allow. Однако любые запрещения, указанные в /etc/ authpf/banned, имеют преимущество перед записями в authpf.allow. Поскольку для определения того, когда будут выгружены правила, относящиеся к конкретному пользователю, authpf полагается на SSH-сеанс, при настройке тайм-аутов соединений SSH-демона необходимо быть очень внимательным. Тайм-ауты должны заканчиваться настолько быстро, чтобы отменять доступ, как только это становится возможным при «устаревании» соединения. Это поможет также предотвратить соединения с системами, находящимися с внешней стороны шлюза, удерживая их открытыми в ходе проведения ARP-спуфинг-атак. Заставить OpenSSH противостоять этому можно добавлением следующих строк в sshd_config: ClientAlivelnterval 15 ClientAliveCountMax 3
Это гарантирует, что SSH-демон будет посыпать клиенту запрос на отклик через 15 с после получения от клиента последних данных. Параметр ClientAliveCountMax указывает, что этот процесс будет повторяться 3 раза и в случае отсутствия отклика клиент будет отключен. Таким образом, клиент будет отключен через 45 с после того, как перестанет отвечать. Эти «дежурные» пакеты посылаются автоматически клиентским программным обеспечением SSH и не требуют никакого вмешательства со стороны пользователя.
Authpf является очень мощным средством благодаря своей гибкости и интеграции с PF — «родной» системой межсетевого разделения ОС OpenBSD. Она проста в настройке и минимально загружает систему, поскольку полагается на SSH и саму операционную систему при проверке полномочий и управлении сеансами.