У кодову базу OpenSSH додано вбудований захист від автоматизованих атак по підбору паролів, у ході яких роботи намагаються вгадати пароль користувача, перебираючи різні типові комбінації. Для блокування подібних атак у файл конфігурації sshd_config доданий параметр PerSourcePenalties, що дозволяє визначити поріг блокування, що спрацьовує за великої кількості невдалих спроб з'єднань з однієї IP-адреси. Новий механізм захисту увійде до складу наступного випуску OpenSSH і буде включений за промовчанням до OpenBSD 7.6.
При включенні захисту процес sshd починає відслідковувати статус завершення дочірніх процесів, визначаючи ситуації, коли не пройшла автентифікація або коли процес був аварійно завершений через збій. Більша інтенсивність збоїв під час аутентифікації свідчить про спроби підбору паролів, а аварійне завершення може вказувати на спроби експлуатації вразливостей у sshd.
Через параметр PerSourcePenalties задається мінімальний поріг аномальних подій, після перевищення якого IP-адреса, для якої зафіксована підозріла активність, буде заблоковано. За допомогою параметра PerSourceNetBlockSize можна також визначити маску підмережі для блокування всієї підмережі, до якої належить проблемний IP.
Для відключення спрацювання блокування для окремих підмереж запропоновано параметр PerSourcePenaltyExemptList, який може виявитися корисним у ситуаціях, що призводять до помилкових спрацювань, наприклад, коли до SSH-сервера здійснюються звернення з великої мережі, запити різних користувачів з якої приходять з однакових IP через використання транслятора адрес або проксі.
Джерело: opennet.ru
