SSH Rate Limit

Unsere ssh-Server sind durch Firewall-Regeln geschützt. Ein sogenanntes "Rate-Limit" schützt den Server vor vielen Verbindungsversuchen von einem einzelnen Server aus.

Das Rate-Limit begrenzt die Zugriff (Logins) pro IP-Adresse und Zeitfenster. Wir schützen hiermit unsere Infrastruktur vor Überlastung und reduzieren die Gefahr, dass Passwörter durch systematisches Probieren geknackt werden.

Folgende Staffelung haben wir erfolgreich erprobt:

• mehr als 5 Logins innerhalb von 15 Sekunden
• mehr als 10 Logins innerhalb von 60 Sekunden
• mehr als 25 Logins innerhalb von 300 Sekunden

Diese Begrenzungen führen bei manchen Mitgliedern zu Problemen bei Skripten und Ansible-Playbook zur automatischen Konfiguration.

Abhilfe schafft das sog. ssh-Multiplexing (vgl. Links)

Das Multiplexing wird durch folgende Zeilen in der Datei $HOME/.ssh/config aktiv:

   Host *.hostsharing.net
   ControlPath ~/.ssh/cm-%r@%h:%p
   ControlMaster auto
   ControlPersist 10m

Es wird eine einzige Verbindung zum ssh-Server mit der Paket-IP aufgebaut und für alle ssh-Aufrufe wiederbenutzt. Erst nach 10 Minuten Stillstand wird die Verbindung abgebaut.

Links

• https://www.nosid.org/tip-ssh-multiplexing.html
• https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Multiplexing (englisch)