Die OpenSSH-kodebasis het ingeboude beskerming teen outomatiese wagwoordraai-aanvalle bygevoeg, waartydens bots probeer om die gebruiker se wagwoord te raai deur verskeie tipiese kombinasies te probeer. Om sulke aanvalle te blokkeer, is die PerSourcePenalties-parameter by die sshd_config-konfigurasielêer gevoeg, wat jou toelaat om 'n blokkeringsdrempel te definieer wat geaktiveer word wanneer daar 'n groot aantal onsuksesvolle verbindingspogings vanaf dieselfde IP-adres is. Die nuwe sekuriteitsmeganisme sal by die volgende weergawe van OpenSSH ingesluit word en sal by verstek in OpenBSD 7.6 geaktiveer word.
Wanneer sekuriteit geaktiveer is, begin die sshd-proses om die beëindigingstatus van kinderprosesse te monitor, en identifiseer situasies wanneer stawing misluk het of wanneer 'n proses abnormaal beëindig is as gevolg van 'n mislukking. 'n Hoë koers van stawingsmislukkings dui op pogings om wagwoorde te raai, en ineenstortings kan dui op pogings om kwesbaarhede in sshd te ontgin.
Die PerSourcePenalties-parameter spesifiseer die minimum drempel van abnormale gebeurtenisse, waarna die IP-adres waarvoor verdagte aktiwiteit aangeteken is, geblokkeer sal word. Deur die PerSourceNetBlockSize-parameter te gebruik, kan jy addisioneel 'n subnetmasker definieer om die hele subnet waaraan die problematiese IP behoort te blokkeer.
Om blokkering vir individuele subnette te deaktiveer, is die PerSourcePenaltyExemptList-parameter voorgestel, wat nuttig kan wees in situasies wat lei tot vals positiewes, byvoorbeeld wanneer toegang tot die SSH-bediener vanaf 'n groot netwerk verkry word, versoeke van verskillende gebruikers waarvandaan van dieselfde IP af kom. as gevolg van die gebruik van 'n vertaler adresse of gevolmagtigdes.
Bron: opennet.ru
