OpenSSH giới thiệu tùy chọn xử lý hành vi bất thường

 (undeadly.org)
1 điểm bởi GN⁺ 2024-06-08 | 1 bình luận | Chia sẻ qua WhatsApp
  • Hai tùy chọn mới là PerSourcePenaltiesPerSourcePenaltyExemptList được thêm vào sshd(8)
    • PerSourcePenalties: tính năng phát hiện và áp dụng chế tài đối với hành vi bất thường của client
    • PerSourcePenaltyExemptList: tính năng cho phép loại trừ địa chỉ client cụ thể khỏi chế tài

Phát hiện và xử lý hành vi bất thường

  • sshd(8) phát hiện các hành vi bất thường như client liên tục thất bại khi xác thực hoặc làm sshd bị crash.
  • Khi phát hiện các hành vi này, hệ thống sẽ áp dụng chế tài bằng cách từ chối kết nối từ địa chỉ client đó trong một khoảng thời gian nhất định.
  • Nếu vi phạm lặp lại, thời gian chế tài sẽ tăng lên.

Cấu hình mặc định và lưu ý

  • PerSourcePenalties mặc định đang bị vô hiệu hóa, nhưng sẽ sớm được bật mặc định. (từ OpenBSD 7.6)
  • Nếu nhiều người dùng truy cập phía sau NAT block hoặc proxy, lưu lượng hợp lệ có thể bị chặn.
  • Cần điều chỉnh các tùy chọn PerSourcePenalties, PerSourcePenaltyExemptList, PerSourceNetBlockSize trong sshd_config(5) để phù hợp với môi trường.

Ý kiến của GN⁺

  • Tăng cường bảo mật: Tính năng này có thể tăng cường bảo mật bằng cách chặn hiệu quả các nỗ lực truy cập bất thường.
  • Thuận tiện trong quản trị: Có tùy chọn loại trừ một số client khỏi chế tài nên việc quản lý trở nên dễ dàng hơn.
  • Lưu ý với môi trường NAT: Trong môi trường NAT, nếu nhiều người dùng dùng chung một IP, người dùng hợp lệ có thể bị chặn nên cần cẩn trọng.
  • Bật mặc định: Khi được bật mặc định, có thể xảy ra các trường hợp chặn ngoài dự kiến, vì vậy quản trị viên nên rà soát cấu hình trước.
  • Tính năng tương tự trong ngành: Các phần mềm máy chủ SSH khác cũng cung cấp tính năng bảo mật tương tự, nên có thể cân nhắc so sánh theo nhu cầu.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-08
Ý kiến trên Hacker News
  • Kinh nghiệm viết máy chủ SSH: Trên IPv4, do sử dụng CGN nên khả năng người dùng vô tội bị ảnh hưởng cao hơn. Trên IPv6, việc lấy IP mới rất dễ nên các biện pháp bảo vệ có thể không hiệu quả. Phần lớn các cuộc tấn công chỉ là tấn công từ điển đơn giản, và nên dùng khóa SSH.
  • Cảnh báo về việc dùng mật khẩu SSH: Dùng mật khẩu cho SSH công khai trên Internet là cực kỳ nguy hiểm. Dùng khóa vừa tiện hơn vừa an toàn hơn.
  • Độ phức tạp cấu hình: Hệ thống phạt có vẻ phức tạp và các giá trị mặc định không được tài liệu hóa. Phải đọc mã nguồn, nhưng lại ngại cài CVS client.
  • Sử dụng giải pháp hiện có: Đã dùng fail2ban rồi và không muốn thêm nhiều mã hơn vào sshd.
  • Ưu điểm của tính năng tích hợp: Đã dùng MaxAuthTries và fail2ban, và tính năng tích hợp có những cải tiến nhất định.
  • Chỉ trích tính năng: Việc lấy IP mới quá dễ nên có thể không hiệu quả. Việc gỡ lỗi có thể trở nên khó hơn, và nhiều công ty có thể gặp vấn đề.
  • Vấn đề tấn công bằng botnet: Có thể không hiệu quả với các cuộc tấn công sử dụng botnet.
  • Nghi ngờ về sự cần thiết của tính năng: Có thể gây bất tiện cho những người đã dùng giải pháp hiện có. Cần khả năng script linh hoạt.
  • Chỉ trích cách tiếp cận bảo mật: fail2ban và tính năng mới của sshd là cách tiếp cận bảo mật thiếu tính nguyên tắc. Nên chỉ cho phép đăng nhập từ các mạng đáng tin cậy.
  • Nghi vấn về khả năng tương thích với OpenBSD: Nhiều người không biết fail2ban đã được port sang OpenBSD hay chưa.