OpenSSH, разрабатываемый в настоящее время в рамках проекта OpenBSD, представил новые опции конфигурации для своего SSH-демона (sshd), которые обещают смягчить попытки злоумышленников получить несанкционированный доступ.
Обновление, созданное разработчиком Дэмиеном Миллером, включает в себя две ключевые функции: PerSourcePenalties и PerSourcePenaltyExemptList. Эти дополнения призваны усовершенствовать методы обработки sshd подозрительного поведения клиентов, обеспечивая при этом защиту легитимных пользователей от несанкционированного доступа.
Новая опция PerSourcePenalties позволяет sshd отслеживать и реагировать на аномальное поведение, обнаруженное в процессе аутентификации SSH. Когда эта функция включена, sshd отслеживает статусы завершения дочерних процессов сеанса предварительной аутентификации, чтобы выявить потенциально опасные действия.
Примерами такой деятельности могут служить повторяющиеся неудачные попытки входа в систему, что может свидетельствовать о попытке подбора пароля, или действия, приводящие к аварийному завершению работы sshd, что может свидетельствовать о попытке использования.
В рамках этой системы, если клиент демонстрирует поведение, приводящее к проблематичному статусу выхода, sshd накладывает временный штраф на IP-адрес клиента, блокируя дальнейшие соединения с этого адреса и других в пределах того же сетевого блока на определенное время.
При повторных нарушениях этот срок может увеличиваться, вплоть до максимального порога. Важно отметить, что данная функция адаптирует свою реакцию в зависимости от тяжести и частоты нарушений, что делает ее динамичным средством борьбы с сетевыми атаками.
И наоборот, в PerSourcePenaltyExemptList администраторы могут указывать IP-адреса или диапазоны, освобожденные от этих наказаний, гарантируя, что доверенные клиенты не столкнутся с проблемами подключения из-за строгих мер безопасности. Это особенно полезно для адресов, которые могут часто вызывать ложные срабатывания в более чувствительных средах.
Миллер выразил оптимизм по поводу новых функций, отметив, что они «значительно усложнят злоумышленникам поиск учетных записей со слабыми или угадываемыми паролями или использование ошибок в самом sshd».
Он также отметил, что хотя функция PerSourcePenalties в настоящее время отключена по умолчанию, она, вероятно, будет автоматически включена в будущих обновлениях.
Многие из вас могут сравнить новую функцию с популярным инструментом Fail2Ban, и вы будете правы: функционально они очень похожи. Но мы говорим о нативной реализации этой функциональности непосредственно в sshd, что просто фантастика.
Однако важно отметить, что это не означает, что Fail2Ban больше не полезен. У него есть множество дополнительных возможностей, таких как управление различными типами аутентификации и специфическое отношение к разным пользователям, так что не спешите отправлять его на пенсию, когда новая функция станет доступна в вашей реализации OpenSSH.
Для получения дополнительной информации посетите анонс в OpenBSD Journal.
Комментарии (0)