ОпенССХ кодна база је додала уграђену заштиту од напада аутоматизованих нагађања лозинке, током којих ботови покушавају да погоде лозинку корисника покушавајући различите типичне комбинације. Да би се блокирали такви напади, параметар ПерСоурцеПеналтиес је додат у конфигурациону датотеку ссхд_цонфиг, који вам омогућава да дефинишете праг блокирања који се покреће када постоји велики број неуспешних покушаја повезивања са исте ИП адресе. Нови сигурносни механизам ће бити укључен у следеће издање ОпенССХ-а и биће подразумевано омогућен у ОпенБСД 7.6.
Када је безбедност омогућена, ссхд процес почиње да надгледа статус завршетка подређених процеса, идентификујући ситуације када аутентификација није успела или када је процес неуобичајено прекинут због грешке. Висока стопа неуспеха аутентификације указује на покушаје да се погоде лозинке, а рушења могу указивати на покушаје искоришћавања рањивости у ссхд-у.
Параметар ПерСоурцеПеналтиес одређује минимални праг абнормалних догађаја, након прекорачења којег ће ИП адреса за коју је забележена сумњива активност бити блокирана. Користећи параметар ПерСоурцеНетБлоцкСизе, можете додатно дефинисати маску подмреже за блокирање целе подмреже којој припада проблематична ИП адреса.
Да би се онемогућило блокирање за појединачне подмреже, предложен је параметар ПерСоурцеПеналтиЕкемптЛист, који може бити користан у ситуацијама које доводе до лажних позитивних резултата, на пример, када се ССХ серверу приступа са велике мреже, захтеви различитих корисника са којих долазе са исте ИП адресе. због коришћења адреса преводиоца или пуномоћника.
Извор: опеннет.ру
