<div dir="ltr"><br><br><div class="gmail_quote">On Thu, Aug 14, 2008 at 1:42 PM, Adam Funk <span dir="ltr"><<a href="mailto:a24061@ducksburg.com">a24061@ducksburg.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 2008-08-14, Knapp wrote:<br>
<br>
> Subject: SSHD_config question<br>
> MaxStartups<br>
><br>
> Specifies the maximum number of concurrent unauthenticated connections to<br>
> the SSH daemon. Additional connections will be dropped until authentication<br>
> succeeds or the LoginGraceTime expires for a connection. The default is 10.<br>
><br>
> Alternatively, random early drop can be enabled by specifying the three<br>
> colon separated values "start:rate:full" (e.g. "10:30:60"). sshd(8) will<br>
> refuse connection attempts with a probability of "rate/100" (30%) if there<br>
> are currently "start" (10) unauthenticated connections. The probability<br>
> increases linearly and all connection attempts are refused if the number of<br>
> unauthenticated connections reaches "full" (60).<br>
><br>
> What the heck does this mean???? it is from the Man command.<br>
> The first one I think I understand. No more than X people can be doing<br>
> sign-in at the same time, right? But the second??? Why do we need it? What<br>
> does it do?<br>
<br>
"Concurrent unauthenticated connections" are the clients that have<br>
connected to the port but not finished logging in yet.  (I think you<br>
got that bit.)<br>
<br>
If you set it to 10:30:60, then there can always be 10 clients in that<br>
state at a time, but the 11th one into that "pool" will face a 30%<br>
chance of being dropped immediately; the 12th one will face a 33%<br>
chance, and so on proportionally up to the 60th one, which faces an<br>
almost 100% chance.  If there are already 60 clients in that pool, all<br>
subsequent attempts will fail until the pool shrinks.<br>
</blockquote><div><br>OK, that makes sense but the system should tune to your computer and flash a warning if things get crazy. I would bet that big systems have a very stable number of people in the signing on state per hour of the day. Smaller systems might not be so stable but still within a very tight range. An attach should jump outside this quickly.<br>
<br>I just set mine to a simple two. Should work just fine. Any reason this might be wrong? Not like it is public and I am expecting huge numbers of users.<br>I hope, pray, that my system has strong security at this point with ssh locked down hard and Firestarter locking out most other things. Have I missed anything?<br>
 <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I suspect the main purpose of this is to slow down brute-force userid-<br>
and password-cracking attempts, which might try to make as many<br>
concurrent connections as possible in order to work their way through<br>
the dictionary quickly.  Maybe someone else can confirm this?<font color="#888888"><br>
</font></blockquote></div><br>I would love to hear more about this too.<br clear="all"><br>-- <br>Douglas E Knapp<br><br><a href="http://sf-journey-creations.wikispot.org/Front_Page">http://sf-journey-creations.wikispot.org/Front_Page</a><br>

</div>